Rapport sur l’état des e-menaces – 2nd semestre 2010download.bitdefender.com/resources/files/Main/file/... · 2011-01-26 · Rapport sur l’état des e-menaces – 2nd semestre

Rapport sur l’état des e-menaces – 2nd semestre 2010

TENDANCES DES MALWARES, DU SPAM ET DU PHISHING


2

Auteur Bogdan BOTEZATU, Spécialiste en communication

Collaborateurs Loredana BOTEZATU, Spécialiste en Communication - Malwares & Menaces du Web 2.0

Răzvan BENCHEA, Spécialiste des Malwares

Dragoş GAVRILUŢ, Spécialiste des Malwares

Alexandru Dan BERBECE - Administrateur de la base de données

Dan VANDACHEVICI - Spécialiste du Spam

Irina RANCEA – Spécialiste du Phishing


3

Table des Matières

Table des matières ............................................................................................................................................ 3

Table des matières des documents .................................................................................................................. 4

Introduction ........................................................................................................................................................ 5

Zoom sur les malwares ..................................................................................................................................... 6

Les malwares en revue ..................................................................................................................................... 7

Principaux pays hébergeant des malwares ....................................................................................................... 7

Top 10 des e-menaces du second semestre 2010 ........................................................................................... 8

Les outils d’espionnage industriel : Win32.Stuxnet.A ..................................................................................... 12

Les botnets ...................................................................................................................................................... 14

Les malwares du Web 2.0 .............................................................................................................................. 16

Les malwares se diffusant via messagerie instantanée .................................................................................. 16

Les menaces sur les réseaux sociaux ............................................................................................................ 17

Le spam en revue ............................................................................................................................................ 21

Phishing et vol d’identité .................................................................................................................................. 23

Vulnérabilités, exploits & brèches de sécurité ................................................................................................. 26

Présentation des exploits ................................................................................................................................ 26

Autres risques de sécurité ............................................................................................................................... 27

Prévisions concernant les e-menaces ............................................................................................................ 28

L’activité des botnets ....................................................................................................................................... 28

Les applications malveillantes ......................................................................................................................... 29

Les réseaux sociaux ........................................................................................................................................ 29

Les autres menaces ........................................................................................................................................ 29

Les systèmes d’exploitation pour appareils mobiles ....................................................................................... 30

Avertissement .................................................................................................................................................. 31


4

Table des matières des documents

Document 1 : Les 10 principaux pays produisant et hébergeant des malwares ............................................... 7

Document 2 : Les 10 pays les plus affectés par les malwares ......................................................................... 8

Document 3 :Top 10 des e-menaces du second semestre 2010 ...................................................................... 9

Document 4 : L’évolution de Stuxnet au cours du second semestre 2010 ..................................................... 13

Document 5 : Activité des botnets entre juillet et décembre ........................................................................... 14

Document 6 : Application rogue demandant le contrôle total sur les données et les actions de l’utilisateur .. 17

Document 7 : Méthode de diffusion d’un ver sur Facebook ............................................................................ 18

Document 8 : Tweets contenant du code JavaScript malveillant .................................................................... 19

Document 9 : Faille sur Twitter rapidement exploitéee pour générer des revenus ......................................... 20

Document 10 :Publicités pour des produits permettant d’améliorer les performances sexuelles envoyées sur des groupes Yahoo! ........................................................................................................................................ 21

Document 11 : Répartition du spam par catégories ........................................................................................ 22

Document 12 : Nouveaux modèles d’e-mails pour le spam médical .............................................................. 22

Document 13 : Spam présentant des produits de contrefaçon utilisant des modèles HTML simples ............ 23

Document 14 : Les 10 institutions et services les plus victimes de phishing au second semestre 2010 ....... 24

Document 15 : Message de phishing prétendant que le compte Facebook de l’utilisateur a été désactivé ... 25

Document 16 : Page de phishing imitant PayPal hébergée sur des serveurs « fast-flux » ............................ 25


5

Introduction

La sécurité des informations évolue depuis quelque temps, comme le révèle la lutte entre les cybercriminels

et les éditeurs d’antivirus : de nouvelles technologies font place à de nouveaux vecteurs d’attaques, qui sont,

une fois de plus, contrés par de nouvelles technologies. Plus de 40 ans ont été nécessaires aux malwares

pour passer de failles de programmation et de plaisanteries sans conséquences à une industrie lucrative,

exploitant la naïveté de certains utilisateurs. Puis, en 5 ans seulement, la sécurité des informations a évolué

de nouveau pour devenir l’une des armes les plus redoutées de la cyberguerre.

Si le Black Hat SEO a diminué sensiblement en comparaison avec le premier semestre de l’année, les

vulnérabilités critiques de type « zero-day » découvertes dans des applications logicielles courantes ont

joué un rôle important dans la diffusion des malwares. Adobe Reader et Internet Explorer font partie des

logiciels commerciaux fonctionnant sous Windows les plus ciblés. Le système d’exploitation Windows a

connu une série de vulnérabilités critiques qui ont permis à des attaquants à distance d’infecter les

systèmes des utilisateurs avec des malwares.

L’une des principales e-menaces exploitant les vulnérabilités Windows « zero-day » est le ver

Stuxnet, un outil malveillant extrêmement sophistiqué, conçu pour cibler les systèmes de contrôle

industriel SCADA. Au cours du second semestre, Stuxnet a utilisé pas moins de quatre vulnérabilités1

distinctes de type « 0-day » pour infecter de nombreux particuliers et systèmes industriels. Son potentiel

d’infiltration élevé associé à des mécanismes de furtivité extrêmement élaborés l’a propulsé parmi les 10

principales e-menaces du second semestre 2010.

On a également assisté, au second semestre 2010, à une série d’attaques DoS de haut niveau lancées

contre de célèbres institutions financières. Contrairement aux tentatives de déni de service distribué

« standard » réalisées auparavant et principalement motivées par les gains financiers, ces attaques massives

constituent une forme de protestation contre des organisations adverses sur Internet.

On retrouve en première et deuxième position respectivement Trojan.Autorun.Inf et

Win32.Worm.Downadup, deux logiciels malveillants dont l’origine remonte à Windows XP, mais qui sont

parvenus à conserver leurs places malgré les mises à niveau du système d’exploitation et en dépit du fait que la

simple installation de patches aurait réglé le problème des failles de sécurité exploitées par ces malwares. 1 La vulnérabilité du service spouleur d’impression a été découverte il y a environ un an, mais n’a jamais été patchée.


6

Zoom sur les malwares

• Les réseaux sociaux sont constamment ciblés par les cybercriminels. Avec plus de 500

millions d’utilisateurs2, Facebook constitue le plus grand réseau social au monde. Les

cybercriminels tentent, de plus en plus, de diffuser leurs créations malveillantes aux utilisateurs du

réseau et de recueillir des informations de toutes sortes sur leurs profils afin de mener à bien

d’autres attaques par la suite.

• Si Internet demeure le principal vecteur d’infection, la présence plus importante de vers et de

chevaux de Troie exploitant la fonction Autorun révèle que les supports amovibles jouent un rôle

clé dans la diffusion de malwares.

• Les logiciels de sécurité « rogue » ont été de plus en plus présents au second semestre 2010. Les

concepteurs de faux antivirus se sont adaptés, et ont revu leurs produits afin de faire croire aux

utilisateurs que leurs créations étaient de véritables logiciels antivirus provenant d’éditeurs de

confiance. Ils sont allés encore plus loin, en concevant d’autres (faux) utilitaires système tels que

des défragmenteurs de disque et des logiciels corrigeant le Registre.

• Les malwares « à monter soi-même » ont permis à des pirates débutants et à des personnes ayant

des connaissances limitées en informatique de lancer plus facilement des attaques contre d’autres

utilisateurs d’ordinateurs. Parmi les outils de prédilection de ces cybercriminels juniors on

compte : Facebook Hacker, Gmail Hacker et le keylogger iStealer.

• Les phishers s’intéressent désormais plus aux réseaux sociaux qu’aux institutions financières.

Facebook est devenu au cours des six derniers mois la principale cible des cybercriminels,

PayPal et Visa occupant respectivement la deuxième et la troisième place. La liste des

institutions et services les plus ciblés s’achève avec les sites web de jeux en ligne.

2 Statistiques issues de la page Statistiques de Facebook, disponible sur http://www.facebook.com/press/info.php?statistics


7

Les malwares en revue

Le classement des malwares du second semestre, avec comme trio de tête Trojan.AutorunInf,

Win32.Worm.Downadup et Exploit.PDF-JS, a connu quelques légères modifications en comparaison avec le

premier semestre. Notons l’entrée dans le classement d’Exploit.CPlLnk.Gen – l’exploit du Panneau de

Configuration utilisé par le ver Stuxnet, ainsi que d’une variante du virus Virtob qui infecte des fichiers .exe et

.scr et ouvre des backdoors pour des attaquants distants.

Principaux pays hébergeant des malwares

Les informations recueillies au cours des six derniers mois ont révélé que les e-menaces étaient

restées relativement inchangées. La Chine, la Russie et le Brésil occupent toujours les première,

deuxième et troisième positions respectivement dans le classement des dix principaux pays

hébergeant des malwares. L’Ukraine a progressé de deux places par rapport au premier semestre

2010, passant de la 10ème à la 8ème position. Le pourcentage des malwares hébergés en Ukraine a

toutefois diminué de 0,15%, en comparaison avec le premier semestre.

Document 1 : Les 10 principaux pays produisant et hébergeant des malwares

31,30%

21,88%8,10%

5,96%

5,40%

4,11%

3,60%

3,31%2,96%

2,29%11,09% China

Russia

Brazil

United Kingdom

United States

Spain

Germany

Ukraine

Sweden

France

Others


8

Une étude plus approfondie des fichiers hébergés en Chine révèle que les e-menaces les plus

fréquentes sont des voleurs de mots de passe pour les jeux en ligne et une large gamme de chevaux

de Troie téléchargeurs utilisés pour installer des malwares supplémentaires sur les systèmes

compromis. Les malwares identifiés en Russie sont généralement liés à de faux antivirus ou

constituent des menaces plus complexes, telles que le bot Zeus, des vers peer-to-peer et des

backdoors. L’industrie des malwares au Brésil est presque exclusivement fondée sur les chevaux de

Troie « Bankers » et sur les programmes dérobant des informations utilisées pour perpétrer des

attaques de type « l’homme du milieu » et « l’homme dans le navigateur ».

La France, les États-Unis et la Chine sont les pays qui ont été les plus affectés par les malwares au

cours du second semestre, BitDefender y ayant enregistré la plupart des incidents liés à des

malwares.

Document 1 : Les 10 pays les plus affectés par les malwares

Top 10 des e-menaces du second semestre 2010

Le classement des malwares du second semestre n’a pas beaucoup évolué par rapport à celui du

semestre précédent, Trojan.AutorunInf, Win32.Worm.Downadup et Exploit.PDF-JS ranking occupant

toujours les trois premières places. Notons que l’origine de Trojan.AutorunInf et de

Win32.Worm.Downadup remonte à Windows XP, et qu’il suffit de mettre à niveau son système

d’exploitation pour éviter leur infection.

39,48%

21,71%

10,61%

5,45%

3,95%

3,65%

3,59% 3,15% 3,08% 2,95% 2,38%

Others

France

United States

China

Spain

Romania

Australia

Germany

Canada

India

Mexico


9

.

Document 3 : Top 10 des e-menaces du second semestre 2010

1. Trojan.AutorunInf.Gen La tête du classement est occupée par l’e-menace Trojan.AutorunInf.Gen, qui représente 10,42 %

de l’ensemble des infections. Cette e-menace est un fichier autorun.inf spécialement conçu lançant

automatiquement des malwares à partir de périphériques de stockage amovibles, à l’insu des

utilisateurs. Certaines familles de malwares « plug-and-play » utilisent des fichiers autorun.inf pour

s’exécuter automatiquement lorsqu’un lecteur flash USB est connecté, parmi lesquelles on compte

Win32.Worm.Downadup, Win32.Zimuse.A, Win32.Sality, Trojan.PWS.OnlineGames,

Win32.Worm.Sohanad et Win32.Worm.Stuxnet.A.

2. Win32.Worm.Downadup Win32.Worm.Downadup (aussi connu sous les noms de Conficker ou Kido) n’a plus besoin d’être

présenté. Au cours des trois dernières années, il est parvenu à devenir le cauchemar des

administrateurs système, et bien qu’il n’ait connu aucun développement l’année dernière, ce ver est

toujours actif et cause des dommages à un nombre considérable d’ordinateurs.

D’un point de vue technique, ce ver exploite une vulnérabilité du service serveur RPC de Microsoft

Windows permettant l’exécution de code à distance (MS08-67) afin de se diffuser sur d’autres

ordinateurs. Il restreint également l’accès des utilisateurs à Windows Update et aux sites d’éditeurs de

sécurité informatique. Les dernières variantes du ver installent également de faux logiciels antivirus et

d’autres e-menaces.

10%6% 4%

3%3%

3%

2%

2%2%

2%

63%

Trojan.AutorunINF.Gen

Win32.Worm.Downadup.Gen

Exploit.PDF‐JS.Gen

Trojan.Generic.4170878

Trojan.Wimad.Gen.1

Win32.Sality.OG

Trojan.Autorun.AET

Worm.Autorun.VHG

Exploit.CplLnk.Gen

Win32.Virtob.Gen.12


10

3. Exploit.PDF-JS.Gen Exploit.PDF-JS.Gen est en troisième position au second semestre 2010, avec 3,66% de l’ensemble

des infections. Sous ce nom sont regroupés des fichiers PDF malformés qui exploitent différentes

vulnérabilités détectées dans le moteur Javascript de PDF Reader, afin d’exécuter du code malveillant

sur l’ordinateur de l’utilisateur. Après l’ouverture d’un fichier PDF infecté, un code Javascript

spécialement conçu à cet effet entraîne le téléchargement et l’exécution automatique et à distance de

codes binaires malveillants.

Les exploits PDF ont été très répandus ce semestre, et ont connu leur apogée avec la série de

fichiers PDF envoyés dans des e-mails de spam les présentant comme des invitations à la cérémonie

de remise du Prix Nobel. Si le fichier PDF est ouvert, le code JavaScript mentionné ci-dessus dépose

un fichier malveillant dans le document PDF et l’exécute.

4. Trojan.Generic.4170878 À l’origine de 3 ,14% des infections, Trojan.Generic.4170878 occupe la quatrième position du

classement de ce semestre. Ce backdoor fournit à des cybercriminels un accès à distance aux

systèmes infectés. Les données recueillies par les Laboratoires BitDefender ont révélé que ce cheval

de Troie était habituellement joint à des « cracks » et « keygens » utilisés pour contourner les

algorithmes de protection des applications logicielles commerciales.

5. Trojan.Wimad.Gen.1 Trojan.Wimad.Gen.1 occupe la cinquième position de ce classement du second semestre 2010. Cette

e-menace se diffuse via des sites web de torrents, sous la forme d’un épisode inédit de votre série TV

préférée ou d’un blockbuster encore inédit. Ces faux fichiers vidéo se connectent à une URL

spécifique et téléchargent des malwares, en se faisant passer pour le codec permettant de lire le

fichier en question. Trojan.Wimad.Gen.1 est principalement actif lorsque des films de type

« blockbuster » sont attendus sur les sites de partage de fichiers.

6. Win32.Sality.OG La sixième place, correspondant à 2,83% des infections mondiales, est occupée par Win32.Sality.OG.

Cette e-menace est un infecteur de fichiers polymorphe qui ajoute son code crypté aux fichiers

exécutables (binaires .exe et .scr). Afin de ne pas se faire remarquer, elle déploie un rootkit sur la

machine infectée et supprime les applications antivirus en cours d’exécution sur l’ordinateur. Après

être venu à bout de la sécurité locale, le virus essaie de déployer un keylogger qui interceptera tous

les comptes de connexion et mots de passe associés, et les enverra à une adresse prédéfinie.

Win32.Sality.OG dispose également de fonctionnalités de backdoor, ce qui signifie que l’attaquant

peut prendre le contrôle de la machine à distance.


11

7. Trojan.Autorun.AET

Trojan.Autorun.AET, un code malveillant se diffusant via les dossiers partagés de Windows et les

supports de stockage amovibles, arrive en septième position avec 2,14% des infections totales. Ce

cheval de Troie exploite la fonctionnalité Autorun des systèmes d’exploitation Windows pour lancer

automatiquement des applications lorsqu’un support de stockage infecté est connecté. Cette menace

cible la génération d’ordinateurs fonctionnant avec Windows XP et Windows Vista SP1, Microsoft

ayant désactivé la fonction Autorun pour les supports amovibles (à l’exception des CD et des DVD-

ROMs) dans les versions suivantes.

8. Worm.Autorun.VHG Worm.Autorun.VHG est un ver de réseau/Internet qui exploite la vulnérabilité Windows MS08-067 afin

de s’exécuter à distance en utilisant un package RPC (Remote Procedure Call) spécialement conçu à

cet effet (une technique également utilisée par Win32.Worm.Downadup). Cela signifie que ce ver cible

également les ordinateurs fonctionnant sous un système Windows XP non patché. Le ver est huitième

du classement avec 2,05% de l’ensemble des infections.

9. Exploit.CplLnk.Gen Nous retrouvons en neuvième position Exploit.CplLnk.Gen (2,01% des infections), qui regroupe des

fichiers lnk (raccourcis) exploitant une vulnérabilité présente dans les systèmes d’exploitation

Windows® pour exécuter du code arbitraire. Cet exploit a beaucoup progressé au cours des dernières

semaines et est parvenu à faire son entrée dans le top 10 des e-menaces en moins de 5 mois. Il fait

également partie des quatre exploits de type « zero-day » utilisés de façon intensive par le ver

Stuxnet pour compromettre la sécurité locale.

10. Win32.Virtob.Gen.12 Ce top 10 s'achève avec Win32.Virtob.Gen.12, un infecteur de fichiers dont le code est entièrement

écrit en langage assembleur, correspondant à 1,59% des infections. Une fois exécuté, il commence à

infecter des fichiers .scr et .exe mais épargne les fichiers système critiques et les dll. Ce code viral

très chiffré tente continuellement de se connecter à un serveur IRC. Lorsqu’une connexion a été

établie, il attend les instructions de l’attaquant distant. Ce virus ouvre également une backdoor afin

que l’attaquant prenne le contrôle à distance du système infecté.


12

Classement des malwares pour la période juillet-décembre 2010 01. TROJAN.AUTORUNINF.GEN 10,42%

02. Win32.Worm.Downadup.Gen 6,00%

03. EXPLOIT.PDF-JS.GEN 3,66%

04. Trojan.Generic.4170878 3,14%

05. TROJAN.WIMAD.GEN.1 2,84%

06. WIN32.SALITY.OG 2,83%

07. TROJAN.AUTORUN.AET 2,14%

08. Worm.Autorun.VHG 2,05%

09. EXPLOIT.CPLLNK.GEN 2,01%

10. Win32.Virtob.Gen.12 1,59%

11. AUTRES 63,32%

Les outils d’espionnage industriel : Win32.Stuxnet.A

Le ver Stuxnet constitue indéniablement l’e-menace la plus spectaculaire de ces dernières années.

Win32.Worm.Stuxnet.A fait partie, à ce jour, des malwares les plus sophistiqués et l’on pense qu’il a

été créé afin de perturber l’activité d’une centrale nucléaire à Téhéran.

Le ver a été détecté pour la première fois en juin 2009 mais a d’abord été considéré comme une

nouvelle variante du cheval de Troie Zlob. Durant l’année qui s’est écoulée entre son apparition et son

identification, Win32.Worm.Stuxnet.A a recueilli suffisamment de données pour que ses auteurs

puissent jeter un coup d’œil aux processus et systèmes critiques d’une centrale nucléaire.

Ce ver a été conçu à partir de plusieurs technologies, allant de la protection rootkit à un ensemble

d’exploits critiques de type « zero-day » permettant d’ouvrir une brèche dans la sécurité locale. Le

pilote rootkit accompagnant le ver empêche l’utilisateur de voir les fichiers malveillants, mais cette e-

menace élaborée dispose encore d’une protection supplémentaire afin de s’assurer de ne pas être

détectée : une signature numérique valide.

La signature numérique est un concept clé dans le domaine de la sécurité des informations

puisqu’elle assure au destinataire la validité d’un message ou d’un document. Un certificat numérique

valide garantissant la fiabilité de fichiers binaires, certains éditeurs d’antivirus ont tendance à ne pas

les analyser, ce qui a permis à Stuxnet d’infecter également des systèmes sur lesquels étaient

installés des logiciels de sécurité.


13

Document 4 : L’évolution de Stuxnet au cours du second semestre 2010

La charge utile de Stuxnet vise principalement à interférer avec le comportement de systèmes

informatiques surveillant des moteurs électriques extrêmement rapides. Les composants du ver sont

empaquetés dans un fichier DLL unique, ce qui le rend extrêmement viral, même dans des

environnements sans connexion à Internet.

Win32.Worm.Stuxnet.A se diffuse actuellement via des cartes mémoire infectées ainsi que via des

dossiers partagés Windows. Pour passer d’un ordinateur à un autre, le ver Stuxnet liste tous les

comptes utilisateur présents sur le système et tente d’accéder à tous les dossiers partagés du réseau

pour chaque utilisateur. Cette approche utilise la vulnérabilité du service serveur RPC de Microsoft

Windows permettant l’exécution de code à distance (MS08-67), également utilisée par

Win32.Worm.Downadup pour infecter environ 5 millions d’utilisateurs.

S’il parvient à se copier sur un ordinateur du réseau (généralement dans le dossier hébergeant le

système d’exploitation3), il crée un fichier .job pointant vers un fichier nommé defrag[nombre].tmp. Le

fichier job assure l’exécution du malware deux minutes après la copie du ver sur l’ordinateur local.

Win32.Worm.Stuxnet.A est bien plus qu’une simple e-menace au potentiel infectieux hors norme. Il

s’agit d’un malware extrêmement élaboré, conçu par des professionnels ayant une connaissance

approfondie à la fois des systèmes d’exploitation et des logiciels de surveillance des processus

industriels.

3 Afin de se copier dans le répertoire hébergeant le système d’exploitation, le ver exploite une vulnérabilité du service spouleur d’impression. Cette vulnérabilité a été découverte début 2009, mais n’a pas été, à ce jour, exploitée par une autre e-menace.

0

100

200

300

400

500

15/07/2010 15/08/2010 15/09/2010 15/10/2010 15/11/2010


14

Les botnets

Ces six derniers mois, les botnets ont joué un rôle important pour l’état des malwares dans le monde. De

l’envoi de spam aux attaques vindicatives contre certaines entreprises, les botnets ont fait de tout.

Cependant, si le premier semestre a été plutôt favorable au développement et à l’exploitation de botnets, on

a assisté au cours du second au démantèlement des principaux réseaux de spam par les autorités, ou ceux-

ci ont été affectés par la disparition soudaine de leurs programmes d’affiliation.

.

Document 2 : Activité des botnets de juillet à décembre

1. Rustock Le second semestre 2010 a fait de Rustock le botnet le plus abouti mais, contrairement au premier

semestre, son activité a considérablement diminué à partir de la mi-septembre. Rustock représentait environ

la moitié du marché du spam pendant les six premiers mois de 2010 et a continué à progresser

significativement entre juillet et septembre, avant de devenir moins présent au cours du dernier trimestre.

Rustock demeure l’un des botnets expéditeurs de spam les plus sophistiqués. Protégé par un pilote rootkit,

chaque bot peut envoyer plus de 25 000 messages par heure. Pour détecter si la machine infectée est

connectée à Internet, le bot effectue des requêtes DNS MX sur des sites web à succès, puis d’autres

requêtes pour obtenir une liste de noms de domaines afin de localiser son centre de commande et de

contrôle. Une fois le centre C&C localisé, il essaie de s’y connecter via une requête POST puis télécharge

les modèles et les adresses e-mail qui seront utilisés pour l’envoi de spam. Le spam envoyé par Rustock est

facilement identifiable, car il présente généralement des médicaments censés permettre aux hommes

d’améliorer leurs performances sexuelles et des produits pharmaceutiques.

29,90%

23,40%

22,60%

3,20%

2,40%

0,90% 17,60%Rustock

Grum.A / Tedroo

Cutwail Family

Crypt.HO

Mega‐D

Oderoor

Others


15

2. Grum (Tedroo) Ces six derniers mois, Grum a fait un retour impressionnant en étant à l’origine de 23,4% de l’ensemble du

spam. Comme Rustock, le bot Grum déploie un rootkit en mode kernel et commence à envoyer jusqu’à

4 000 messages de spam par heure. Bien que Grum ne puisse envoyer autant de spam que Rustock, il est

capable de télécharger une multitude de modèles de spam provenant de différents emplacements. En

général, le courrier indésirable envoyé par Tedroo présente des produits pharmaceutiques mais, de temps

en temps, les botmasters lancent leurs propres campagnes d’infection en envoyant des liens vers des bots

dans des messages sur des stars internationales.

3. La Famille Cutwail Le botnet Cutwail a gagné énormément de terrain en 2010, et occupe désormais la troisième place dans

l’industrie du spam. Au cours du premier semestre 2010, Cutwail était le composant du botnet Pushdo, en

deuxième position lors de notre dernier rapport sur l’état des e-menaces, utilisé pour envoyer du spam. Une

fois infecté, l’ordinateur local reçoit l’instruction de télécharger l’injecteur de rootkit et le composant

spammeur. Outre le pilote rootkit déjà classique destiné à cacher sa présence, le bot dispose de niveaux de

protection supplémentaires, dont la capacité à se lancer, à envoyer de nombreux messages puis à se

terminer lui-même. Lorsqu’il redémarre (ce qui se produit presque immédiatement), le bot obtient un nouvel

identifiant de processus (PID) et devient quasiment impossible à tuer.

Cutwail ne se contente pas d’envoyer du spam. Chaque nouvelle version du bot contient de nouvelles

fonctionnalités, comme la capacité à s’envoyer via des applications de messagerie instantanée, à ouvrir de

nouveaux backdoors ou à installer d’autres malwares. Notons également que si les botnets rencontrent

généralement d’importantes difficultés lorsque des serveurs C&C sont fermés, les bots Cutwail sont mis à

niveau via un mécanisme de protection proposé par Pushdo/ Kobka.

4. Crypt.HO (Maazben) Le botnet Maazben semble avoir pris de l’importance au cours des six derniers mois, bien que son nombre

de bots soit très inférieur à celui des 3 botnets présentés précédemment. Ce botnet a commencé à se

former en mai 2009 et, depuis, il est toujours parvenu à ajouter de nouveaux ordinateurs zombifiés à son

infrastructure. Malgré un nombre important d’ordinateurs infectés, Maazben envoie une quantité de spam

modérée. À ce jour, Maazben est l’un des rares botnets à envoyer du spam lié aux casinos.

5. Mega-D (Ozdok) Connu auparavant comme étant le plus grand botnet au monde, le réseau Mega-D a retenu l’attention,

malgré lui, des autorités. Après quelques tentatives ayant échoué pour mettre un terme à l’existence du

botnet en fermant ses serveurs C & C, des chercheurs en sécurité ont détecté une faille dans le protocole de


16

communication propriétaire du botnet, permettant à un tiers de télécharger des modèles de spam et d’y

« entraîner » des filtres antispam avant que les vagues de spam ne parviennent aux victimes. Au cours du

second semestre, le botnet Mega-D a perdu ses drones, mais surtout, en novembre 2010, son auteur

présumé a été arrêté pour non respect du « Can-Spam Act » (législation antispam américaine).

Oderoor (Bobax) Oderoor est le plus ancien botnet au monde et, en 2008, il s’agissait du plus grand. Il est devenu populaire

mi-2008 mais est actif depuis 2005. Oderror a été très affecté par la fermeture de ses serveurs C&C.

Actuellement, Oderoor représente tout juste un pourcent du spam.

Les malwares du Web 2.0

Les réseaux sociaux, les plateformes de blogs et de micro-blogging jouent un rôle important dans la vie des

utilisateurs. Les comptes de réseaux sociaux contiennent de nombreuses informations précieuses pour les

cybercriminels et comprennent des adresses personnelles, des e-mails et des listes de contacts ainsi que de

nombreuses informations sur les habitudes des utilisateurs. Au-delà de cela, l’espace des réseaux sociaux

apporte aux auteurs de malwares un contact potentiel avec environ un demi-milliard de membres, un

marché bien supérieur à la population des États-Unis.

Les malwares se diffusant via messagerie instantanée Depuis le début de l’année, les auteurs de malwares portent leur attention sur les utilisateurs de

messageries instantanées. Des e-menaces telles que Win32.Worm.Palevo.DS, Win32.Worm.IM.J ou

Backdoor.Tofsee et son composant rootkit essaient d’infecter les utilisateurs et leurs ressources pour

différents objectifs criminels tels que des attaques DDoS, l’envoi de spam, ou des fraudes liées aux cartes

bancaires. Bien que ces e-menaces fassent encore des victimes, l’on a assisté au second semestre à un

changement considérable dans la façon dont les cybercriminels s’en prennent aux utilisateurs de

messageries instantanées.

Parmi les malwares de messagerie instantanée identifiés au cours du second semestre 2010 se trouvent

Worm.FaceBlocker (également connu sous le nom de ver Ymfoca) et une large gamme d’autres vers qui

n’envoient pas de liens infectés, mais des liens vers des logiciels rogues.

L’un des malwares les plus intéressants se diffusant via messagerie instantanée est Worm.FaceBlocker,

une e-menace envoyant des liens infectés via Yahoo Messenger. Si les utilisateurs cliquent sur ces liens et

sont infectés, ils commencent à diffuser des messages et ont accès à Facebook uniquement à la condition

qu’ils participent à des sondages. D’après ce qu’indique le programme d’affiliation, chaque sondage rapporte

1$ à l’attaquant. Multipliez cette somme par plusieurs milliers d’utilisateurs répondant à 3 études par jour en

moyenne et vous comprendrez pourquoi les ordinateurs infectés sont une aubaine pour l’attaquant.


17

Les menaces sur les réseaux sociaux Les réseaux sociaux sont devenus particulièrement importants pour les auteurs de malwares au cours des

six derniers mois. Profitant des très nombreux utilisateurs actifs, les cybercriminels ont lancé plusieurs

campagnes malveillantes via la plateforme Facebook. Si la plupart des campagnes diffusées via Facebook

au cours du premier semestre 2010 étaient liées aux malwares et aux adwares (telles que le ver Koobface

et différents lecteurs multimédias, respectivement), le second semestre a été dominé par de fausses

applications Facebook écrites par des tiers et dirigeant vers des sondages. La plupart de ces applications

requièrent les données personnelles des utilisateurs, ainsi que la permission d’effectuer des publications au

nom des utilisateurs.

Document 3 : Application rogue demandant le contrôle total sur les données et les actions de l’utilisateur

Des messages attirants sont utilisés pour convaincre les utilisateurs de réseaux sociaux de cliquer

sur certains liens, lesquels les dirigent vers des sites Internet leur demandant de répondre à des

sondages présentés comme étant des mesures de sécurité pour accéder au contenu souhaité. Si les

utilisateurs répondent à cette demande, on leur soumettra, au lieu du contenu promis, des sondages

supplémentaires.


18

Figure 4 : Méthode de diffusion d’un ver sur Facebook

Ces campagnes se diffusent simplement, de la manière suivante :

1. L’utilisateur infecté publie le message et le lien sur son mur. Celui-ci sera visible par tous ses

amis, qui seront incités à cliquer sur le lien.


19

2. Les amis cliquant sur le lien seront invités à autoriser l’application malveillante à effectuer

certaines tâches en leur nom, comme accéder à leurs informations générales et publier sur leur

mur, entre autres.

3. Le même message s’affiche immédiatement sur le mur de l’utilisateur, dès qu’il a autorisé

l’application à réaliser les tâches mentionnées ci-dessus, contribuant ainsi à diffuser l’infection.

4. L’application conduit l’utilisateur vers une page présentant un lecteur Flash avec une « incroyable

vidéo » qui s’avère être une image JPEG avec un lien vers un domaine externe au réseau social.

5. Lorsque l’utilisateur arrive sur le domaine externe, on lui demande de répondre à des sondages

afin d’accéder à la vidéo promise.

Au cours des derniers mois de l’année, les malwares Java ont été de plus en plus présents sur

Facebook et Twitter. Tirant parti du fait que Java est un environnement multiplateforme fonctionnant à

la fois sous Windows et Mac OS X, Java.Trojan.Boonana.A commence par exécuter un applet Java

qui télécharge d’autres fichiers malveillants. Après avoir démarré, le cheval de Troie pirate tous les

comptes de réseaux sociaux pour publier des posts au nom de l’utilisateur et vérifie régulièrement le

serveur C & C afin d’effectuer les actions que le botmaster lui demande de réaliser.

Facebook n’est pas le seul réseau social ciblé par des cyber-escrocs. Nous avons assisté en

septembre à une attaque de grande envergure utilisant des tweets spécialement conçus qui

exploitaient une vulnérabilité dans la façon dont la plateforme de réseau social traitait JavaScript.

Document 5 : Tweets contenant du code JavaScript malveillant

Lorsque l’utilisateur passe la souris sur le lien corrompu, il est redirigé malgré lui vers un site web

arbitraire, en général vers un domaine utilisé par un faux antivirus pour lancer des « simulations

d’analyse ».

Alors que Twitter corrigeait rapidement ce problème technique et supprimait les comptes en cause,

une nouvelle méthode malveillante était conçue à l’intention des utilisateurs de Twitter craignant que

leur compte n’ait été piraté. De nombreux tweets évoquaient un guide « pas-à-pas » pour


20

« désinfecter » son compte Twitter. L’utilisateur devait cependant, pour accéder au contenu en

question, répondre à un sondage.

Document 6 : Faille sur Twitter rapidement exploitée pour générer des revenus

Le spam sur les réseaux sociaux a constitué un autre trouble-fête important au cours du second

semestre 2010. La plupart des vagues de spam diffusées via des plateformes de réseaux sociaux

étaient liées à l’activité d’applications malveillantes publiant du contenu choquant au nom des

utilisateurs. Certains messages de spam sont destinés à vendre des produits et des services, alors

que d’autres visent à recueillir des informations sur les victimes et leur cercle d’amis.


21

Document 7 : Publicités pour des produits permettant d’améliorer les performances sexuelles envoyées sur des groupes Yahoo!

Le Spam en revue

L’industrie du spam a été fortement affectée au second semestre 2010, l’un des principaux

programmes d’affiliation ayant définitivement fermé. Le domaine spamit.com, célèbre site pour les

spammeurs souhaitant transformer leurs botnets en véritables vaches à lait, était notamment connu

pour son lien avec Canadian Pharmacy.

Notons, au second semestre 2010, une diminution considérable du spam présentant des

médicaments, qui est passé de 66% de l’ensemble du spam au premier semestre à 48% au second.

Canadian Pharmacy ayant quasiment disparu à compter d’octobre et d’autres botnets tels que

Pushdo et Mega-D étant sérieusement touchés par la fermeture de C&C, le volume global de spam a

considérablement diminué, tout en conservant la même répartition qu’au semestre précédent.

Le spam lié aux casinos a augmenté, ce qui indique que le botnet Crypt.HO / Maazben a été actif et a

augmenté la diffusion de spam, compensant la baisse d’activité des botnets Rustock et Grum,

quasiment inertes depuis début octobre.


22

Document 8: Répartition du spam par catégories

Bien que le nombre de messages de spam envoyés par jour ait diminué, le spam promouvant des

produits pharmaceutiques n’a pas complètement disparu, mais a évolué. Les nouveaux messages de

spam présentent toujours de faux médicaments fabriqués en Chine, mais les modèles habituels volés

à de véritables newsletters ont fait place à de nouvelles présentations comme celle de l’image ci-

dessous :

Document 9 : Nouveaux modèles d’e-mails pour le spam médical

Le spam lié aux casinos et aux paris en ligne a connu une progression importante, passant de la

cinquième à la deuxième place en un semestre. Le spam présentant des produits de contrefaçon a

quant à lui perdu une place. Si la plupart des modèles d’e-mails utilisaient des images en abondance,

les campagnes actuelles de produits de contrefaçon consistent principalement en du texte

accompagné d’un lien hypertexte.

48,12%

18,91%

6,93%

7,13%

4,95%

4,46% 3,17%

0,69% 0,99% 0,30% 0,20% 4,16%Pharmaceuticals

Casino

Replica

Loans

Software

Diploma

Employment

Malware

Dating + Adult

Scams

Phishing

Other


23

Document : Spam présentant des produits de contrefaçon utilisant des modèles HTML simples

Les messages de spam accompagnés de malwares ont diminué au cours du second semestre 2010.

Parmi les malwares les plus transmis par spam se trouvent le botnet Zeus, plusieurs variantes de

Bredolab ainsi qu’un grand nombre de fichiers PDF malveillants exploitant plusieurs vulnérabilités

d’Adobe Reader PDF.

Les tendances du spam au second semestre 2010

Le spam est passé de 86,2% à 85,1% de l’ensemble des e-mails envoyés. En moyenne, un message

de spam pèse 4 Ko et le texte est le format de prédilection pour l’envoi d’e-mails non sollicités. En

fonction de la campagne de spam, la taille d’un e-mail varie entre 3 et 9 Ko.

Le troisième trimestre 2010 a vu un afflux massif de spam envoyé par Canadian Pharmacy,

comprenant des messages avec de grandes images, qui ont ensuite disparu de la circulation dès le

mois d’octobre, avec la fermeture du programme d’affiliation SpamIt. La plupart du spam lié aux

produits pharmaceutiques envoyé pendant le dernier trimestre concerne des médicaments pour

perdre du poids et améliorer ses performances sexuelles vendus par une nouvelle entreprise nommée

« US Drugs ». Les messages de spam promouvant ces produits sont généralement envoyés en texte

en clair et accompagnés de liens hypertextes vers des noms de domaines aléatoires de 5 lettres

enregistrés en Russie, agissant comme des proxys et redirigeant l’utilisateur vers des « clones » des

sites web.

Phishing et vol d’identité

Le phishing cible traditionnellement les services bancaires en ligne ainsi que d’autres institutions

financières. Cependant, si au premier semestre 2010 Paypal constituait la principale cible des

cybercriminels, le phishing s’est ensuite tourné vers les réseaux sociaux et les communautés de jeux


24

en ligne. Le classement BitDefender sur le phishing place Facebook en tête des institutions et

services les plus touchés.

Document 14 : Les 10 institutions et services les plus victimes de phishing au second semestre 2010

Cette progression rapide de la la quatrième place à la tête du classement révèle l’importance

qu’accordent les phishers aux données personnelles, qui peuvent être utilisées à diverses fins : pour

créer des profils d’utilisateurs en fonction de leurs intérêts, pour élaborer des bases de données

d’informations personnelles qui seront vendues à d’autres spammeurs, ou pour réaliser des attaques

de spear-phishing contre les amis de la victime et les amis de ses amis.

43,59%

21,66%

21,33%

3,71%

3,36% 2,75% 1,26% 0,87% 0,86% 0,60%Facebook

PayPal

Visa

WOW

eBay

HSBC

Capital One

Bank Of America

Lloyds

Steam


25

Document 10 : Message de phishing prétendant que le compte Facebook de l’utilisateur a été désactivé

Le service de traitement des paiements Paypal apparaît en seconde position dans le classement des

marques les plus touchées par le phishing au second semestre 2010. Parmi la multitude de vagues

de spam ciblant ce service se trouve un message provenant de Roumanie demandant aux utilisateurs

de confirmer leurs données afin de débloquer leur compte et de pouvoir obtenir leurs paiements à

temps.

Document 11 : Page de phishing imitant PayPal hébergée sur des serveurs « fast-flux »


26

Bien que les principales cibles des cyber-escrocs au cours du second semestre 2010 aient été les

réseaux sociaux et les processeurs de paiements, les communautés de jeux en ligne telles que

Steam® et World of Warcraft® ont été exploitées de façon intensive. Les comptes de jeux en ligne

sont particulièrement rentables, car ils contiennent soit des numéros de série de jeux pouvant être

revendus via les portails de « Logiciels OEM » soit des ressources (or et objets virtuels) pouvant être

transférées à d’autres joueurs en échange d’argent (bien réel).

Vulnérabilités, exploits & brèches de sécurité

Tout comme le premier semestre 2010, le second semestre a été extrêmement riche en exploits de

type « zero-day » et en brèches de sécurité. Ces failles vont des exploits « classiques » de type

« zero-day » affectant Adobe Reader et les applications Acrobat antérieures à la version X4 au code

extrêmement sophistiqué tirant profit de multiples vulnérabilités comme cela a été le cas avec le ver

Stuxnet. Le mois d’août a compté pas moins de 14 bulletins de sécurité pour les produits Microsoft,

dont six ont été qualifiés de « critiques », un record absolu de hotfixes pour le « Patch Tuesday ».

Présentation des Exploits

Le début du mois de septembre a été marqué par quelques failles de type « zero-day » exploitées

simultanément par l’outil d’espionnage industriel Stuxnet. Outre la célèbre vulnérabilité MS08-067

(déjà patchée) utilisée par le ver Conficker, Stuxnet a introduit une nouvelle faille LNK (Raccourci

Windows) identifiée par BitDefender sous le nom de Exploit.CplLnk.Gen, un bug de type « zero-day »

dans le service spouleur d’impression permettant à du code arbitraire d’être transféré et exécuté sur

une machine à distance, et deux autres failles permettant une élévation de privilèges afin que du code

malveillant s’exécute avec les droits administrateur. Le nombre impressionnant d’infections dans le

monde a propulsé l’exploit du lien vers le Panneau de Configuration à la neuvième place dans le

classement BitDefender du deuxième semestre 2010.

Le lecteur populaire Winamp a également été victime de quatre vulnérabilités critiques dans ses

versions 5.x, permettant à un utilisateur d’ouvrir un backdoor à distance. Le code de l’exploit est placé

4 La version 10 de la célèbre application PDF Reader est munie d’un mode de protection de type sandbox (bac à sable) afin d’isoler les processus de Reader les uns des autres, ainsi que des autres processus du système. En les isolant, l’application exécute tout dans un environnement extrêmement confiné, avec un minimum de privilèges sur la machine en question.


27

dans un fichier MTM malformé et se déclenche uniquement lorsqu’un fichier spécifique est chargé

dans la playlist ou lorsque ses propriétés sont affichées.

Les navigateurs Internet ont également vécu des moments difficiles au cours du second semestre. La

plupart des packs d’exploits vendus illégalement sur des forums, comme Eleonore et Crimepack,

contiennent du code malveillant pour exploiter des vulnérabilités dans les navigateurs Internet

Explorer5 et Firefox6.

L’on a également assisté fin octobre à une série d’exploits conçus pour les versions 3.5 et 3.6 de

Mozilla Firefox. Le code de l’exploit a été placé via des injections iFrame sur de prestigieux sites web

tels que celui du Prix Nobel, entre autres. Cet exploit implique le déclenchement d’une erreur

d’utilisation après libération, une technique utilisée avec succès par des attaquants dans l’Exploit

ciblant IE8 en janvier, connu sous le nom d’Opération Aurora .

Un autre bug important de type « zero-day » sur les plateformes Windows a été découvert fin

novembre et touche le noyau Windows en lui-même. La vulnérabilité permet à un attaquant de

contourner le Contrôle de Compte Utilisateur sur les systèmes Windows Vista et Windows 7. Un

exemple de « preuve de concept » fonctionnant accompagné d’’explications « pas-à-pas » pour

l’exploiter ont été disponibles sur un forum de programmation extrêmement populaire pendant

quelques heures.

Le code de l’exploit exploite une faille de programmation dans la fonction NtGdiEnableEudc() de

wi32k.sys. L’auteur du code de la « preuve de concept » parcourt les processus ouverts via

IoGetCurrentProces() et recherche « services.exe ». Une fois qu’il l’a trouvé, il copie son jeton de

sécurité et écrase le jeton de sécurité d’un autre processus (dans ce cas, le malware).

Autres risques de sécurité

En août, des chercheurs en sécurité ont découvert une vulnérabilité dans la façon dont sont conçues

de nombreuses applications. Cette faille dans le chargement des DLL affecte la façon dont les

applications essaient de charger un ou plusieurs fichiers DLL à partir de dossiers externes au

répertoire Windows. En résumé, un attaquant peut exécuter du code malveillant lorsque qu’un type de

fichier vulnérable est ouvert à partir d’un répertoire contrôlé par l’attaquant.

Ce type d’exploitation est possible lorsque des utilisateurs exécutent ou chargent des fichiers à partir

d’une archive extraite, d’un partage réseau distant ou d’un lecteur USB, même si le fichier ouvert par

l’utilisateur ne contient pas de code exécutable.

5 Ces « crimepacks comprennent deux codes d’exploits pour Internet Explorer : MS09-002 (exploit Internet Explorer 7 1/2009) et MDAC – ActiveX (exploit Internet Explorer, 3/2007). 6 Le seul exploit pour Firefox inclus dans le pack Eleonore cible une vulnérabilité de 2005. Les nouveaux navigateurs ne sont plus vulnérables au code Eleonore.


28

À ce jour, les lecteurs multimédias sont les plus susceptibles d’être exploités, puisque les utilisateurs

considèrent les formats de fichiers avi et mp3 comme étant sûrs. Cependant, au moment de les

charger à partir d’un dossier partagé distant, le lecteur multimédia commence par rechercher et

télécharger un ou plusieurs fichiers DLL dans le même répertoire que celui du fichier ouvert.

Prévisions concernant les e-menaces

L’année 2010 a réservé de nombreuses surprises inattendues dans le domaine de la sécurité. L’activité des e-

menaces a été inhabituelle, avec notamment l’apparition du ver Stuxnet. De plus, les événements récents

concernant le scandale Wikileaks ont été à l’origine d’une vague massive de protestations de la part de

certains groupes d’utilisateurs d’Internet, qui ont tourné leur Low-Obrit Ion Canons contre les institutions ayant

cessé de soutenir Wikileaks ou ayant condamné publiquement ses actions.

La vague massive d’attaques de déni de service distribué a paralysé l’activité en ligne de fournisseurs

de services Internet, d’organismes de paiement et de sites web de gouvernements. Contrairement

aux attaques DDoS classiques, qui exploitent des ordinateurs infectés pour envoyer des paquets

contre leurs victimes, il s’agissait d’un effort coordonné de millions d’utilisateurs ayant volontairement

confié leurs ordinateurs à des inconnus afin de fournir une force de frappe suffisante.

L’activité des botnets

Pendant des années, les botnets ont constitué le cœur de l’industrie des malwares. Ces hordes

d’ordinateurs zombies peuvent être utilisés pour envoyer du spam, lancer des attaques DDoS, fournir

un hébergement gratuit pour des pages de phishing et des malwares, ou proposer des proxys pour

des fraudes liées aux cartes bancaires. La fermeture récente du service SpamIt a considérablement

réduit la quantité de spam envoyée via les bots infectés, mais n’a nullement perturbé l’infrastructure

du botnet.

De nombreux programmes d’affiliation apparaîtront en 2011, ceux qui existent seront renforcés, et la

production de spam retrouvera des « niveaux normaux », avec le spam médical en tête.

Les botnets classiques composés d’ordinateurs infectés seront accompagnés de nouvelles menaces

issues de botnets créés avec le consentement des utilisateurs. Ces réseaux d’ordinateurs se

consacreront principalement à la mise en place d’attaques DDoS comme forme de protestation

sociale, contre des institutions réglementant l’utilisation d’Internet.


29

Les applications malveillantes

En 2011, les auteurs de malwares veilleront particulièrement à la discrétion de leurs programmes. Les

malwares signés avec d’authentiques certificats numériques, volés, ou avec des certificats contrefaits

(comme cela a été le cas pour Stuxnet et de nombreuses variantes de ZBot) ayant connu un début

très prometteur, ils seront sans doute également présents en 2011. Cetaines solutions de sécurité

n’analysant pas les binaires signés numériquement, cette méthode permet aux malwares d’installler

des pilotes en mode kernel même sur Windows Vista et Windows 7.

Des applications rogue dans tous les domaines : les faux logiciels antivirus ne sont plus une

nouveauté. Depuis 2008, les faux antivirus n’ont pas tellement changé et les utilisateurs commencent

à les reconnaître. L’on assistera en 2011 à une offre d’utilitaires plus importante, allant des faux

défragmenteurs de disques aux fausses applications d’optimisation.

Les réseaux sociaux Les réseaux sociaux sont devenus un phénomène mondial : en moins de 6 mois, la base d’utilisateurs

de Facebook et passée de 400 à 500 millions de comptes actifs, qui publient et mettent à jour un

grand nombre de données personnelles. Les phishers peuvent confirmer des informations à partir de

profils de réseaux sociaux grâce aux données concernant le lieu de travail des utilisateurs, afin de

lancer des attaques d’ingénierie sociale de haut niveau et d’installer des menaces sophistiquées dans

des réseaux d’entreprise et de les utiliser pour effectuer de l’espionnage industriel ou à d’autres fins

illégales. BitDefender estime que 2011 verra l’apparition d’un grand nombre d’applications et de

plugins rogue pour réseaux sociaux, qui tenteront de générer des revenus grâce aux utilisateurs en

les redirigeant vers des sondages ou en parvenant à leur faire installer des adwares.

Les autres menaces L’accès généralisé à la nouvelle technologie HTML 5 offrira aux utilisateurs de nouveaux moyens

d’interagir avec les médias en ligne. HTML 5 étant intégré à tous les principaux navigateurs, il

pourrait devenir exploitable quels que soient la plateforme du système d’exploitation et le navigateur.

Les exploits de type « zero-day » joueront un rôle clé dans la diffusion des malwares en 2011. Avec

des packs tels qu’Eleonore, Crime Pack, Fragus, Siberia et le futur kit d’exploits Ares, la création de

malwares est devenue accessible à tous, quel que soit le niveau technique.

Les malwares multiplateformes : l’apparition du cheval de Troie Java Boonana

(Java.Trojan.Boonana.A), affectant à la fois les utilisateurs de Mac OS X et de Windows constitue


30

une réussite dans la mesure où un seul malware cible deux des principaux systèmes d’exploitation

au monde. Le nombre de vers et de chevaux de Troie multiplateformes continuera probablement à

augmenter en 2011.

Les systèmes d’exploitation pour appareils mobiles

Les smartphones gagnent rapidement des parts de marché et la présence accrue de bornes Wifi

dans les zones urbaines offre déjà une connexion illimitée à Internet aux utilisateurs de ces

appareils. Cela augmentera le nombre de tentatives de phishing exploitant le petit écran des

téléphones portables pour inciter les utilisateurs à divulguer des informations sensibles lorsqu’ils

effectuent des achats en ligne ou des transactions bancaires.

L’essor rapide du système d’exploitation Android de Google et la disponibilité d’un kit de

développement logiciel intuitif réduiront les efforts des auteurs de malwares pour créer des

applications rogue à la fois pour les téléphones Android et les futures tablettes PC Android.

Les malwares ciblant les téléphones Android sont déjà présents. Il existe de fausses applications

composant des numéros surtaxés, ainsi qu’une e-menace aux capacités de botnet nommée

« Geinimi », qui dérobe des données personnelles et des contacts. Android étant un système

d’exploitation open-source extrêmement souple, les auteurs de malwares ne tarderont pas à

concevoir des malwares prenant le contrôle total du téléphone infecté.


31

Avertissement

Les informations et les données exposées dans ce document reflètent le point de vue de BitDefender® sur les sujets abordés à la date de sa publication. Ce document et les informations qu’il contient ne peuvent en aucun cas être interprétés comme un engagement ou un accord de quelque nature que ce soit.

Bien que toutes les précautions aient été prises lors de l’élaboration de ce document, l’éditeur, les auteurs et les collaborateurs se dégagent de toute responsabilité en cas d'erreurs et/ou d'omissions. Ils ne sauraient être tenus pour responsables des dommages consécutifs à l’utilisation des informations qu’il contient. De plus, les informations contenues dans ce document sont susceptibles d’être modifiées sans avertissement préalable. BitDefender, l’éditeur, les auteurs et les collaborateurs ne peuvent garantir que ce document sera repris ultérieurement, ni qu’il fera l’objet de compléments ou de mises à jour.

Ce document et les données qu’il contient sont publiés à titre strictement informatif. BitDefender, l’éditeur, les auteurs et les collaborateurs ne fournissent aucune garantie expresse, implicite ou légale relatives aux informations mentionnées dans ce document.

Le contenu de ce document peut ne pas être adapté à toutes les situations. Si une assistance professionnelle est nécessaire, les services d’un professionnel compétent doivent être sollicités. Ni BitDefender, ni les éditeurs du document, ni les auteurs ni les collaborateurs ne peuvent être tenus pour responsables des préjudices pouvant résulter de la consultation du document.

Le fait qu’une personne ou une organisation, un travail individuel ou collectif, y compris des textes imprimés, des documents électroniques, des sites Web, etc., soient mentionnés dans ce document en tant que référence et/ou source d’information actuelle ou future, ne signifie pas que BitDefender, l’éditeur du document, les auteurs ou les collaborateurs avalisent les informations ou les recommandations que peuvent fournir la personne, l’organisation, les travaux individuels ou collectifs, y compris les textes imprimés, les documents électroniques, les sites Web, etc.

Les lecteurs doivent également savoir que BitDefender, l’éditeur du document, les auteurs ou les collaborateurs ne peuvent garantir l’exactitude d’aucune des informations fournies dans ce document au-delà de sa date de publication, y compris, mais non exclusivement, les adresses Web et les liens Internet indiqués dans ce document qui peuvent avoir changé ou disparu entre le moment où ce travail a été réalisé et publié et celui où il est lu.

Le respect de l'ensemble des lois internationales applicables au copyright émanant de ce document relève de la pleine et entière responsabilité des lecteurs. Les droits relevant du copyright restant applicables, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de récupération des données, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopies, enregistrement ou autres), ou dans quelque but que ce soit, sans l’autorisation expresse et écrite de BitDefender.

BitDefender peut posséder des brevets, des brevets déposés, des marques, des droits d’auteur, ou d’autres droits de propriété intellectuelle se rapportant au contenu de ce document. Sauf indication expresse figurant dans un contrat de licence écrit émanant de BitDefender ce document ne concède aucune licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle.

Tous les autres noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.

Copyright © 2011 BitDefender. Tous droits réservés.

Documents

Rapport sur l’état des e-menaces – 2nd semestre 2010download.bitdefender.com/resources/files/Main/file/... · 2011-01-26 · Rapport sur l’état des e-menaces – 2nd semestre