Rapport sur l’état des e-menaces – 2nd semestre 2010
TENDANCES DES MALWARES, DU SPAM ET DU PHISHING
Rapport sur l’état des e-menaces – 2nd semestre 2010
2
Auteur Bogdan BOTEZATU, Spécialiste en communication
Collaborateurs Loredana BOTEZATU, Spécialiste en Communication - Malwares & Menaces du Web 2.0
Răzvan BENCHEA, Spécialiste des Malwares
Dragoş GAVRILUŢ, Spécialiste des Malwares
Alexandru Dan BERBECE - Administrateur de la base de données
Dan VANDACHEVICI - Spécialiste du Spam
Irina RANCEA – Spécialiste du Phishing
Rapport sur l’état des e-menaces – 2nd semestre 2010
3
Table des Matières
Table des matières ............................................................................................................................................ 3
Table des matières des documents .................................................................................................................. 4
Introduction ........................................................................................................................................................ 5
Zoom sur les malwares ..................................................................................................................................... 6
Les malwares en revue ..................................................................................................................................... 7
Principaux pays hébergeant des malwares ....................................................................................................... 7
Top 10 des e-menaces du second semestre 2010 ........................................................................................... 8
Les outils d’espionnage industriel : Win32.Stuxnet.A ..................................................................................... 12
Les botnets ...................................................................................................................................................... 14
Les malwares du Web 2.0 .............................................................................................................................. 16
Les malwares se diffusant via messagerie instantanée .................................................................................. 16
Les menaces sur les réseaux sociaux ............................................................................................................ 17
Le spam en revue ............................................................................................................................................ 21
Phishing et vol d’identité .................................................................................................................................. 23
Vulnérabilités, exploits & brèches de sécurité ................................................................................................. 26
Présentation des exploits ................................................................................................................................ 26
Autres risques de sécurité ............................................................................................................................... 27
Prévisions concernant les e-menaces ............................................................................................................ 28
L’activité des botnets ....................................................................................................................................... 28
Les applications malveillantes ......................................................................................................................... 29
Les réseaux sociaux ........................................................................................................................................ 29
Les autres menaces ........................................................................................................................................ 29
Les systèmes d’exploitation pour appareils mobiles ....................................................................................... 30
Avertissement .................................................................................................................................................. 31
Rapport sur l’état des e-menaces – 2nd semestre 2010
4
Table des matières des documents
Document 1 : Les 10 principaux pays produisant et hébergeant des malwares ............................................... 7
Document 2 : Les 10 pays les plus affectés par les malwares ......................................................................... 8
Document 3 :Top 10 des e-menaces du second semestre 2010 ...................................................................... 9
Document 4 : L’évolution de Stuxnet au cours du second semestre 2010 ..................................................... 13
Document 5 : Activité des botnets entre juillet et décembre ........................................................................... 14
Document 6 : Application rogue demandant le contrôle total sur les données et les actions de l’utilisateur .. 17
Document 7 : Méthode de diffusion d’un ver sur Facebook ............................................................................ 18
Document 8 : Tweets contenant du code JavaScript malveillant .................................................................... 19
Document 9 : Faille sur Twitter rapidement exploitéee pour générer des revenus ......................................... 20
Document 10 :Publicités pour des produits permettant d’améliorer les performances sexuelles envoyées sur des groupes Yahoo! ........................................................................................................................................ 21
Document 11 : Répartition du spam par catégories ........................................................................................ 22
Document 12 : Nouveaux modèles d’e-mails pour le spam médical .............................................................. 22
Document 13 : Spam présentant des produits de contrefaçon utilisant des modèles HTML simples ............ 23
Document 14 : Les 10 institutions et services les plus victimes de phishing au second semestre 2010 ....... 24
Document 15 : Message de phishing prétendant que le compte Facebook de l’utilisateur a été désactivé ... 25
Document 16 : Page de phishing imitant PayPal hébergée sur des serveurs « fast-flux » ............................ 25
Rapport sur l’état des e-menaces – 2nd semestre 2010
5
Introduction
La sécurité des informations évolue depuis quelque temps, comme le révèle la lutte entre les cybercriminels
et les éditeurs d’antivirus : de nouvelles technologies font place à de nouveaux vecteurs d’attaques, qui sont,
une fois de plus, contrés par de nouvelles technologies. Plus de 40 ans ont été nécessaires aux malwares
pour passer de failles de programmation et de plaisanteries sans conséquences à une industrie lucrative,
exploitant la naïveté de certains utilisateurs. Puis, en 5 ans seulement, la sécurité des informations a évolué
de nouveau pour devenir l’une des armes les plus redoutées de la cyberguerre.
Si le Black Hat SEO a diminué sensiblement en comparaison avec le premier semestre de l’année, les
vulnérabilités critiques de type « zero-day » découvertes dans des applications logicielles courantes ont
joué un rôle important dans la diffusion des malwares. Adobe Reader et Internet Explorer font partie des
logiciels commerciaux fonctionnant sous Windows les plus ciblés. Le système d’exploitation Windows a
connu une série de vulnérabilités critiques qui ont permis à des attaquants à distance d’infecter les
systèmes des utilisateurs avec des malwares.
L’une des principales e-menaces exploitant les vulnérabilités Windows « zero-day » est le ver
Stuxnet, un outil malveillant extrêmement sophistiqué, conçu pour cibler les systèmes de contrôle
industriel SCADA. Au cours du second semestre, Stuxnet a utilisé pas moins de quatre vulnérabilités1
distinctes de type « 0-day » pour infecter de nombreux particuliers et systèmes industriels. Son potentiel
d’infiltration élevé associé à des mécanismes de furtivité extrêmement élaborés l’a propulsé parmi les 10
principales e-menaces du second semestre 2010.
On a également assisté, au second semestre 2010, à une série d’attaques DoS de haut niveau lancées
contre de célèbres institutions financières. Contrairement aux tentatives de déni de service distribué
« standard » réalisées auparavant et principalement motivées par les gains financiers, ces attaques massives
constituent une forme de protestation contre des organisations adverses sur Internet.
On retrouve en première et deuxième position respectivement Trojan.Autorun.Inf et
Win32.Worm.Downadup, deux logiciels malveillants dont l’origine remonte à Windows XP, mais qui sont
parvenus à conserver leurs places malgré les mises à niveau du système d’exploitation et en dépit du fait que la
simple installation de patches aurait réglé le problème des failles de sécurité exploitées par ces malwares. 1 La vulnérabilité du service spouleur d’impression a été découverte il y a environ un an, mais n’a jamais été patchée.
Rapport sur l’état des e-menaces – 2nd semestre 2010
6
Zoom sur les malwares
• Les réseaux sociaux sont constamment ciblés par les cybercriminels. Avec plus de 500
millions d’utilisateurs2, Facebook constitue le plus grand réseau social au monde. Les
cybercriminels tentent, de plus en plus, de diffuser leurs créations malveillantes aux utilisateurs du
réseau et de recueillir des informations de toutes sortes sur leurs profils afin de mener à bien
d’autres attaques par la suite.
• Si Internet demeure le principal vecteur d’infection, la présence plus importante de vers et de
chevaux de Troie exploitant la fonction Autorun révèle que les supports amovibles jouent un rôle
clé dans la diffusion de malwares.
• Les logiciels de sécurité « rogue » ont été de plus en plus présents au second semestre 2010. Les
concepteurs de faux antivirus se sont adaptés, et ont revu leurs produits afin de faire croire aux
utilisateurs que leurs créations étaient de véritables logiciels antivirus provenant d’éditeurs de
confiance. Ils sont allés encore plus loin, en concevant d’autres (faux) utilitaires système tels que
des défragmenteurs de disque et des logiciels corrigeant le Registre.
• Les malwares « à monter soi-même » ont permis à des pirates débutants et à des personnes ayant
des connaissances limitées en informatique de lancer plus facilement des attaques contre d’autres
utilisateurs d’ordinateurs. Parmi les outils de prédilection de ces cybercriminels juniors on
compte : Facebook Hacker, Gmail Hacker et le keylogger iStealer.
• Les phishers s’intéressent désormais plus aux réseaux sociaux qu’aux institutions financières.
Facebook est devenu au cours des six derniers mois la principale cible des cybercriminels,
PayPal et Visa occupant respectivement la deuxième et la troisième place. La liste des
institutions et services les plus ciblés s’achève avec les sites web de jeux en ligne.
2 Statistiques issues de la page Statistiques de Facebook, disponible sur http://www.facebook.com/press/info.php?statistics
Rapport sur l’état des e-menaces – 2nd semestre 2010
7
Les malwares en revue
Le classement des malwares du second semestre, avec comme trio de tête Trojan.AutorunInf,
Win32.Worm.Downadup et Exploit.PDF-JS, a connu quelques légères modifications en comparaison avec le
premier semestre. Notons l’entrée dans le classement d’Exploit.CPlLnk.Gen – l’exploit du Panneau de
Configuration utilisé par le ver Stuxnet, ainsi que d’une variante du virus Virtob qui infecte des fichiers .exe et
.scr et ouvre des backdoors pour des attaquants distants.
Principaux pays hébergeant des malwares
Les informations recueillies au cours des six derniers mois ont révélé que les e-menaces étaient
restées relativement inchangées. La Chine, la Russie et le Brésil occupent toujours les première,
deuxième et troisième positions respectivement dans le classement des dix principaux pays
hébergeant des malwares. L’Ukraine a progressé de deux places par rapport au premier semestre
2010, passant de la 10ème à la 8ème position. Le pourcentage des malwares hébergés en Ukraine a
toutefois diminué de 0,15%, en comparaison avec le premier semestre.
Document 1 : Les 10 principaux pays produisant et hébergeant des malwares
31,30%
21,88%8,10%
5,96%
5,40%
4,11%
3,60%
3,31%2,96%
2,29%11,09% China
Russia
Brazil
United Kingdom
United States
Spain
Germany
Ukraine
Sweden
France
Others
Rapport sur l’état des e-menaces – 2nd semestre 2010
8
Une étude plus approfondie des fichiers hébergés en Chine révèle que les e-menaces les plus
fréquentes sont des voleurs de mots de passe pour les jeux en ligne et une large gamme de chevaux
de Troie téléchargeurs utilisés pour installer des malwares supplémentaires sur les systèmes
compromis. Les malwares identifiés en Russie sont généralement liés à de faux antivirus ou
constituent des menaces plus complexes, telles que le bot Zeus, des vers peer-to-peer et des
backdoors. L’industrie des malwares au Brésil est presque exclusivement fondée sur les chevaux de
Troie « Bankers » et sur les programmes dérobant des informations utilisées pour perpétrer des
attaques de type « l’homme du milieu » et « l’homme dans le navigateur ».
La France, les États-Unis et la Chine sont les pays qui ont été les plus affectés par les malwares au
cours du second semestre, BitDefender y ayant enregistré la plupart des incidents liés à des
malwares.
Document 1 : Les 10 pays les plus affectés par les malwares
Top 10 des e-menaces du second semestre 2010
Le classement des malwares du second semestre n’a pas beaucoup évolué par rapport à celui du
semestre précédent, Trojan.AutorunInf, Win32.Worm.Downadup et Exploit.PDF-JS ranking occupant
toujours les trois premières places. Notons que l’origine de Trojan.AutorunInf et de
Win32.Worm.Downadup remonte à Windows XP, et qu’il suffit de mettre à niveau son système
d’exploitation pour éviter leur infection.
39,48%
21,71%
10,61%
5,45%
3,95%
3,65%
3,59% 3,15% 3,08% 2,95% 2,38%
Others
France
United States
China
Spain
Romania
Australia
Germany
Canada
India
Mexico
Rapport sur l’état des e-menaces – 2nd semestre 2010
9
.
Document 3 : Top 10 des e-menaces du second semestre 2010
1. Trojan.AutorunInf.Gen La tête du classement est occupée par l’e-menace Trojan.AutorunInf.Gen, qui représente 10,42 %
de l’ensemble des infections. Cette e-menace est un fichier autorun.inf spécialement conçu lançant
automatiquement des malwares à partir de périphériques de stockage amovibles, à l’insu des
utilisateurs. Certaines familles de malwares « plug-and-play » utilisent des fichiers autorun.inf pour
s’exécuter automatiquement lorsqu’un lecteur flash USB est connecté, parmi lesquelles on compte
Win32.Worm.Downadup, Win32.Zimuse.A, Win32.Sality, Trojan.PWS.OnlineGames,
Win32.Worm.Sohanad et Win32.Worm.Stuxnet.A.
2. Win32.Worm.Downadup Win32.Worm.Downadup (aussi connu sous les noms de Conficker ou Kido) n’a plus besoin d’être
présenté. Au cours des trois dernières années, il est parvenu à devenir le cauchemar des
administrateurs système, et bien qu’il n’ait connu aucun développement l’année dernière, ce ver est
toujours actif et cause des dommages à un nombre considérable d’ordinateurs.
D’un point de vue technique, ce ver exploite une vulnérabilité du service serveur RPC de Microsoft
Windows permettant l’exécution de code à distance (MS08-67) afin de se diffuser sur d’autres
ordinateurs. Il restreint également l’accès des utilisateurs à Windows Update et aux sites d’éditeurs de
sécurité informatique. Les dernières variantes du ver installent également de faux logiciels antivirus et
d’autres e-menaces.
10%6% 4%
3%3%
3%
2%
2%2%
2%
63%
Trojan.AutorunINF.Gen
Win32.Worm.Downadup.Gen
Exploit.PDF‐JS.Gen
Trojan.Generic.4170878
Trojan.Wimad.Gen.1
Win32.Sality.OG
Trojan.Autorun.AET
Worm.Autorun.VHG
Exploit.CplLnk.Gen
Win32.Virtob.Gen.12
Rapport sur l’état des e-menaces – 2nd semestre 2010
10
3. Exploit.PDF-JS.Gen Exploit.PDF-JS.Gen est en troisième position au second semestre 2010, avec 3,66% de l’ensemble
des infections. Sous ce nom sont regroupés des fichiers PDF malformés qui exploitent différentes
vulnérabilités détectées dans le moteur Javascript de PDF Reader, afin d’exécuter du code malveillant
sur l’ordinateur de l’utilisateur. Après l’ouverture d’un fichier PDF infecté, un code Javascript
spécialement conçu à cet effet entraîne le téléchargement et l’exécution automatique et à distance de
codes binaires malveillants.
Les exploits PDF ont été très répandus ce semestre, et ont connu leur apogée avec la série de
fichiers PDF envoyés dans des e-mails de spam les présentant comme des invitations à la cérémonie
de remise du Prix Nobel. Si le fichier PDF est ouvert, le code JavaScript mentionné ci-dessus dépose
un fichier malveillant dans le document PDF et l’exécute.
4. Trojan.Generic.4170878 À l’origine de 3 ,14% des infections, Trojan.Generic.4170878 occupe la quatrième position du
classement de ce semestre. Ce backdoor fournit à des cybercriminels un accès à distance aux
systèmes infectés. Les données recueillies par les Laboratoires BitDefender ont révélé que ce cheval
de Troie était habituellement joint à des « cracks » et « keygens » utilisés pour contourner les
algorithmes de protection des applications logicielles commerciales.
5. Trojan.Wimad.Gen.1 Trojan.Wimad.Gen.1 occupe la cinquième position de ce classement du second semestre 2010. Cette
e-menace se diffuse via des sites web de torrents, sous la forme d’un épisode inédit de votre série TV
préférée ou d’un blockbuster encore inédit. Ces faux fichiers vidéo se connectent à une URL
spécifique et téléchargent des malwares, en se faisant passer pour le codec permettant de lire le
fichier en question. Trojan.Wimad.Gen.1 est principalement actif lorsque des films de type
« blockbuster » sont attendus sur les sites de partage de fichiers.
6. Win32.Sality.OG La sixième place, correspondant à 2,83% des infections mondiales, est occupée par Win32.Sality.OG.
Cette e-menace est un infecteur de fichiers polymorphe qui ajoute son code crypté aux fichiers
exécutables (binaires .exe et .scr). Afin de ne pas se faire remarquer, elle déploie un rootkit sur la
machine infectée et supprime les applications antivirus en cours d’exécution sur l’ordinateur. Après
être venu à bout de la sécurité locale, le virus essaie de déployer un keylogger qui interceptera tous
les comptes de connexion et mots de passe associés, et les enverra à une adresse prédéfinie.
Win32.Sality.OG dispose également de fonctionnalités de backdoor, ce qui signifie que l’attaquant
peut prendre le contrôle de la machine à distance.
Rapport sur l’état des e-menaces – 2nd semestre 2010
11
7. Trojan.Autorun.AET
Trojan.Autorun.AET, un code malveillant se diffusant via les dossiers partagés de Windows et les
supports de stockage amovibles, arrive en septième position avec 2,14% des infections totales. Ce
cheval de Troie exploite la fonctionnalité Autorun des systèmes d’exploitation Windows pour lancer
automatiquement des applications lorsqu’un support de stockage infecté est connecté. Cette menace
cible la génération d’ordinateurs fonctionnant avec Windows XP et Windows Vista SP1, Microsoft
ayant désactivé la fonction Autorun pour les supports amovibles (à l’exception des CD et des DVD-
ROMs) dans les versions suivantes.
8. Worm.Autorun.VHG Worm.Autorun.VHG est un ver de réseau/Internet qui exploite la vulnérabilité Windows MS08-067 afin
de s’exécuter à distance en utilisant un package RPC (Remote Procedure Call) spécialement conçu à
cet effet (une technique également utilisée par Win32.Worm.Downadup). Cela signifie que ce ver cible
également les ordinateurs fonctionnant sous un système Windows XP non patché. Le ver est huitième
du classement avec 2,05% de l’ensemble des infections.
9. Exploit.CplLnk.Gen Nous retrouvons en neuvième position Exploit.CplLnk.Gen (2,01% des infections), qui regroupe des
fichiers lnk (raccourcis) exploitant une vulnérabilité présente dans les systèmes d’exploitation
Windows® pour exécuter du code arbitraire. Cet exploit a beaucoup progressé au cours des dernières
semaines et est parvenu à faire son entrée dans le top 10 des e-menaces en moins de 5 mois. Il fait
également partie des quatre exploits de type « zero-day » utilisés de façon intensive par le ver
Stuxnet pour compromettre la sécurité locale.
10. Win32.Virtob.Gen.12 Ce top 10 s'achève avec Win32.Virtob.Gen.12, un infecteur de fichiers dont le code est entièrement
écrit en langage assembleur, correspondant à 1,59% des infections. Une fois exécuté, il commence à
infecter des fichiers .scr et .exe mais épargne les fichiers système critiques et les dll. Ce code viral
très chiffré tente continuellement de se connecter à un serveur IRC. Lorsqu’une connexion a été
établie, il attend les instructions de l’attaquant distant. Ce virus ouvre également une backdoor afin
que l’attaquant prenne le contrôle à distance du système infecté.
Rapport sur l’état des e-menaces – 2nd semestre 2010
12
Classement des malwares pour la période juillet-décembre 2010 01. TROJAN.AUTORUNINF.GEN 10,42%
02. Win32.Worm.Downadup.Gen 6,00%
03. EXPLOIT.PDF-JS.GEN 3,66%
04. Trojan.Generic.4170878 3,14%
05. TROJAN.WIMAD.GEN.1 2,84%
06. WIN32.SALITY.OG 2,83%
07. TROJAN.AUTORUN.AET 2,14%
08. Worm.Autorun.VHG 2,05%
09. EXPLOIT.CPLLNK.GEN 2,01%
10. Win32.Virtob.Gen.12 1,59%
11. AUTRES 63,32%
Les outils d’espionnage industriel : Win32.Stuxnet.A
Le ver Stuxnet constitue indéniablement l’e-menace la plus spectaculaire de ces dernières années.
Win32.Worm.Stuxnet.A fait partie, à ce jour, des malwares les plus sophistiqués et l’on pense qu’il a
été créé afin de perturber l’activité d’une centrale nucléaire à Téhéran.
Le ver a été détecté pour la première fois en juin 2009 mais a d’abord été considéré comme une
nouvelle variante du cheval de Troie Zlob. Durant l’année qui s’est écoulée entre son apparition et son
identification, Win32.Worm.Stuxnet.A a recueilli suffisamment de données pour que ses auteurs
puissent jeter un coup d’œil aux processus et systèmes critiques d’une centrale nucléaire.
Ce ver a été conçu à partir de plusieurs technologies, allant de la protection rootkit à un ensemble
d’exploits critiques de type « zero-day » permettant d’ouvrir une brèche dans la sécurité locale. Le
pilote rootkit accompagnant le ver empêche l’utilisateur de voir les fichiers malveillants, mais cette e-
menace élaborée dispose encore d’une protection supplémentaire afin de s’assurer de ne pas être
détectée : une signature numérique valide.
La signature numérique est un concept clé dans le domaine de la sécurité des informations
puisqu’elle assure au destinataire la validité d’un message ou d’un document. Un certificat numérique
valide garantissant la fiabilité de fichiers binaires, certains éditeurs d’antivirus ont tendance à ne pas
les analyser, ce qui a permis à Stuxnet d’infecter également des systèmes sur lesquels étaient
installés des logiciels de sécurité.
Rapport sur l’état des e-menaces – 2nd semestre 2010
13
Document 4 : L’évolution de Stuxnet au cours du second semestre 2010
La charge utile de Stuxnet vise principalement à interférer avec le comportement de systèmes
informatiques surveillant des moteurs électriques extrêmement rapides. Les composants du ver sont
empaquetés dans un fichier DLL unique, ce qui le rend extrêmement viral, même dans des
environnements sans connexion à Internet.
Win32.Worm.Stuxnet.A se diffuse actuellement via des cartes mémoire infectées ainsi que via des
dossiers partagés Windows. Pour passer d’un ordinateur à un autre, le ver Stuxnet liste tous les
comptes utilisateur présents sur le système et tente d’accéder à tous les dossiers partagés du réseau
pour chaque utilisateur. Cette approche utilise la vulnérabilité du service serveur RPC de Microsoft
Windows permettant l’exécution de code à distance (MS08-67), également utilisée par
Win32.Worm.Downadup pour infecter environ 5 millions d’utilisateurs.
S’il parvient à se copier sur un ordinateur du réseau (généralement dans le dossier hébergeant le
système d’exploitation3), il crée un fichier .job pointant vers un fichier nommé defrag[nombre].tmp. Le
fichier job assure l’exécution du malware deux minutes après la copie du ver sur l’ordinateur local.
Win32.Worm.Stuxnet.A est bien plus qu’une simple e-menace au potentiel infectieux hors norme. Il
s’agit d’un malware extrêmement élaboré, conçu par des professionnels ayant une connaissance
approfondie à la fois des systèmes d’exploitation et des logiciels de surveillance des processus
industriels.
3 Afin de se copier dans le répertoire hébergeant le système d’exploitation, le ver exploite une vulnérabilité du service spouleur d’impression. Cette vulnérabilité a été découverte début 2009, mais n’a pas été, à ce jour, exploitée par une autre e-menace.
0
100
200
300
400
500
15/07/2010 15/08/2010 15/09/2010 15/10/2010 15/11/2010
Rapport sur l’état des e-menaces – 2nd semestre 2010
14
Les botnets
Ces six derniers mois, les botnets ont joué un rôle important pour l’état des malwares dans le monde. De
l’envoi de spam aux attaques vindicatives contre certaines entreprises, les botnets ont fait de tout.
Cependant, si le premier semestre a été plutôt favorable au développement et à l’exploitation de botnets, on
a assisté au cours du second au démantèlement des principaux réseaux de spam par les autorités, ou ceux-
ci ont été affectés par la disparition soudaine de leurs programmes d’affiliation.
.
Document 2 : Activité des botnets de juillet à décembre
1. Rustock Le second semestre 2010 a fait de Rustock le botnet le plus abouti mais, contrairement au premier
semestre, son activité a considérablement diminué à partir de la mi-septembre. Rustock représentait environ
la moitié du marché du spam pendant les six premiers mois de 2010 et a continué à progresser
significativement entre juillet et septembre, avant de devenir moins présent au cours du dernier trimestre.
Rustock demeure l’un des botnets expéditeurs de spam les plus sophistiqués. Protégé par un pilote rootkit,
chaque bot peut envoyer plus de 25 000 messages par heure. Pour détecter si la machine infectée est
connectée à Internet, le bot effectue des requêtes DNS MX sur des sites web à succès, puis d’autres
requêtes pour obtenir une liste de noms de domaines afin de localiser son centre de commande et de
contrôle. Une fois le centre C&C localisé, il essaie de s’y connecter via une requête POST puis télécharge
les modèles et les adresses e-mail qui seront utilisés pour l’envoi de spam. Le spam envoyé par Rustock est
facilement identifiable, car il présente généralement des médicaments censés permettre aux hommes
d’améliorer leurs performances sexuelles et des produits pharmaceutiques.
29,90%
23,40%
22,60%
3,20%
2,40%
0,90% 17,60%Rustock
Grum.A / Tedroo
Cutwail Family
Crypt.HO
Mega‐D
Oderoor
Others
Rapport sur l’état des e-menaces – 2nd semestre 2010
15
2. Grum (Tedroo) Ces six derniers mois, Grum a fait un retour impressionnant en étant à l’origine de 23,4% de l’ensemble du
spam. Comme Rustock, le bot Grum déploie un rootkit en mode kernel et commence à envoyer jusqu’à
4 000 messages de spam par heure. Bien que Grum ne puisse envoyer autant de spam que Rustock, il est
capable de télécharger une multitude de modèles de spam provenant de différents emplacements. En
général, le courrier indésirable envoyé par Tedroo présente des produits pharmaceutiques mais, de temps
en temps, les botmasters lancent leurs propres campagnes d’infection en envoyant des liens vers des bots
dans des messages sur des stars internationales.
3. La Famille Cutwail Le botnet Cutwail a gagné énormément de terrain en 2010, et occupe désormais la troisième place dans
l’industrie du spam. Au cours du premier semestre 2010, Cutwail était le composant du botnet Pushdo, en
deuxième position lors de notre dernier rapport sur l’état des e-menaces, utilisé pour envoyer du spam. Une
fois infecté, l’ordinateur local reçoit l’instruction de télécharger l’injecteur de rootkit et le composant
spammeur. Outre le pilote rootkit déjà classique destiné à cacher sa présence, le bot dispose de niveaux de
protection supplémentaires, dont la capacité à se lancer, à envoyer de nombreux messages puis à se
terminer lui-même. Lorsqu’il redémarre (ce qui se produit presque immédiatement), le bot obtient un nouvel
identifiant de processus (PID) et devient quasiment impossible à tuer.
Cutwail ne se contente pas d’envoyer du spam. Chaque nouvelle version du bot contient de nouvelles
fonctionnalités, comme la capacité à s’envoyer via des applications de messagerie instantanée, à ouvrir de
nouveaux backdoors ou à installer d’autres malwares. Notons également que si les botnets rencontrent
généralement d’importantes difficultés lorsque des serveurs C&C sont fermés, les bots Cutwail sont mis à
niveau via un mécanisme de protection proposé par Pushdo/ Kobka.
4. Crypt.HO (Maazben) Le botnet Maazben semble avoir pris de l’importance au cours des six derniers mois, bien que son nombre
de bots soit très inférieur à celui des 3 botnets présentés précédemment. Ce botnet a commencé à se
former en mai 2009 et, depuis, il est toujours parvenu à ajouter de nouveaux ordinateurs zombifiés à son
infrastructure. Malgré un nombre important d’ordinateurs infectés, Maazben envoie une quantité de spam
modérée. À ce jour, Maazben est l’un des rares botnets à envoyer du spam lié aux casinos.
5. Mega-D (Ozdok) Connu auparavant comme étant le plus grand botnet au monde, le réseau Mega-D a retenu l’attention,
malgré lui, des autorités. Après quelques tentatives ayant échoué pour mettre un terme à l’existence du
botnet en fermant ses serveurs C & C, des chercheurs en sécurité ont détecté une faille dans le protocole de
Rapport sur l’état des e-menaces – 2nd semestre 2010
16
communication propriétaire du botnet, permettant à un tiers de télécharger des modèles de spam et d’y
« entraîner » des filtres antispam avant que les vagues de spam ne parviennent aux victimes. Au cours du
second semestre, le botnet Mega-D a perdu ses drones, mais surtout, en novembre 2010, son auteur
présumé a été arrêté pour non respect du « Can-Spam Act » (législation antispam américaine).
Oderoor (Bobax) Oderoor est le plus ancien botnet au monde et, en 2008, il s’agissait du plus grand. Il est devenu populaire
mi-2008 mais est actif depuis 2005. Oderror a été très affecté par la fermeture de ses serveurs C&C.
Actuellement, Oderoor représente tout juste un pourcent du spam.
Les malwares du Web 2.0
Les réseaux sociaux, les plateformes de blogs et de micro-blogging jouent un rôle important dans la vie des
utilisateurs. Les comptes de réseaux sociaux contiennent de nombreuses informations précieuses pour les
cybercriminels et comprennent des adresses personnelles, des e-mails et des listes de contacts ainsi que de
nombreuses informations sur les habitudes des utilisateurs. Au-delà de cela, l’espace des réseaux sociaux
apporte aux auteurs de malwares un contact potentiel avec environ un demi-milliard de membres, un
marché bien supérieur à la population des États-Unis.
Les malwares se diffusant via messagerie instantanée Depuis le début de l’année, les auteurs de malwares portent leur attention sur les utilisateurs de
messageries instantanées. Des e-menaces telles que Win32.Worm.Palevo.DS, Win32.Worm.IM.J ou
Backdoor.Tofsee et son composant rootkit essaient d’infecter les utilisateurs et leurs ressources pour
différents objectifs criminels tels que des attaques DDoS, l’envoi de spam, ou des fraudes liées aux cartes
bancaires. Bien que ces e-menaces fassent encore des victimes, l’on a assisté au second semestre à un
changement considérable dans la façon dont les cybercriminels s’en prennent aux utilisateurs de
messageries instantanées.
Parmi les malwares de messagerie instantanée identifiés au cours du second semestre 2010 se trouvent
Worm.FaceBlocker (également connu sous le nom de ver Ymfoca) et une large gamme d’autres vers qui
n’envoient pas de liens infectés, mais des liens vers des logiciels rogues.
L’un des malwares les plus intéressants se diffusant via messagerie instantanée est Worm.FaceBlocker,
une e-menace envoyant des liens infectés via Yahoo Messenger. Si les utilisateurs cliquent sur ces liens et
sont infectés, ils commencent à diffuser des messages et ont accès à Facebook uniquement à la condition
qu’ils participent à des sondages. D’après ce qu’indique le programme d’affiliation, chaque sondage rapporte
1$ à l’attaquant. Multipliez cette somme par plusieurs milliers d’utilisateurs répondant à 3 études par jour en
moyenne et vous comprendrez pourquoi les ordinateurs infectés sont une aubaine pour l’attaquant.
Rapport sur l’état des e-menaces – 2nd semestre 2010
17
Les menaces sur les réseaux sociaux Les réseaux sociaux sont devenus particulièrement importants pour les auteurs de malwares au cours des
six derniers mois. Profitant des très nombreux utilisateurs actifs, les cybercriminels ont lancé plusieurs
campagnes malveillantes via la plateforme Facebook. Si la plupart des campagnes diffusées via Facebook
au cours du premier semestre 2010 étaient liées aux malwares et aux adwares (telles que le ver Koobface
et différents lecteurs multimédias, respectivement), le second semestre a été dominé par de fausses
applications Facebook écrites par des tiers et dirigeant vers des sondages. La plupart de ces applications
requièrent les données personnelles des utilisateurs, ainsi que la permission d’effectuer des publications au
nom des utilisateurs.
Document 3 : Application rogue demandant le contrôle total sur les données et les actions de l’utilisateur
Des messages attirants sont utilisés pour convaincre les utilisateurs de réseaux sociaux de cliquer
sur certains liens, lesquels les dirigent vers des sites Internet leur demandant de répondre à des
sondages présentés comme étant des mesures de sécurité pour accéder au contenu souhaité. Si les
utilisateurs répondent à cette demande, on leur soumettra, au lieu du contenu promis, des sondages
supplémentaires.
Rapport sur l’état des e-menaces – 2nd semestre 2010
18
Figure 4 : Méthode de diffusion d’un ver sur Facebook
Ces campagnes se diffusent simplement, de la manière suivante :
1. L’utilisateur infecté publie le message et le lien sur son mur. Celui-ci sera visible par tous ses
amis, qui seront incités à cliquer sur le lien.
Rapport sur l’état des e-menaces – 2nd semestre 2010
19
2. Les amis cliquant sur le lien seront invités à autoriser l’application malveillante à effectuer
certaines tâches en leur nom, comme accéder à leurs informations générales et publier sur leur
mur, entre autres.
3. Le même message s’affiche immédiatement sur le mur de l’utilisateur, dès qu’il a autorisé
l’application à réaliser les tâches mentionnées ci-dessus, contribuant ainsi à diffuser l’infection.
4. L’application conduit l’utilisateur vers une page présentant un lecteur Flash avec une « incroyable
vidéo » qui s’avère être une image JPEG avec un lien vers un domaine externe au réseau social.
5. Lorsque l’utilisateur arrive sur le domaine externe, on lui demande de répondre à des sondages
afin d’accéder à la vidéo promise.
Au cours des derniers mois de l’année, les malwares Java ont été de plus en plus présents sur
Facebook et Twitter. Tirant parti du fait que Java est un environnement multiplateforme fonctionnant à
la fois sous Windows et Mac OS X, Java.Trojan.Boonana.A commence par exécuter un applet Java
qui télécharge d’autres fichiers malveillants. Après avoir démarré, le cheval de Troie pirate tous les
comptes de réseaux sociaux pour publier des posts au nom de l’utilisateur et vérifie régulièrement le
serveur C & C afin d’effectuer les actions que le botmaster lui demande de réaliser.
Facebook n’est pas le seul réseau social ciblé par des cyber-escrocs. Nous avons assisté en
septembre à une attaque de grande envergure utilisant des tweets spécialement conçus qui
exploitaient une vulnérabilité dans la façon dont la plateforme de réseau social traitait JavaScript.
Document 5 : Tweets contenant du code JavaScript malveillant
Lorsque l’utilisateur passe la souris sur le lien corrompu, il est redirigé malgré lui vers un site web
arbitraire, en général vers un domaine utilisé par un faux antivirus pour lancer des « simulations
d’analyse ».
Alors que Twitter corrigeait rapidement ce problème technique et supprimait les comptes en cause,
une nouvelle méthode malveillante était conçue à l’intention des utilisateurs de Twitter craignant que
leur compte n’ait été piraté. De nombreux tweets évoquaient un guide « pas-à-pas » pour
Rapport sur l’état des e-menaces – 2nd semestre 2010
20
« désinfecter » son compte Twitter. L’utilisateur devait cependant, pour accéder au contenu en
question, répondre à un sondage.
Document 6 : Faille sur Twitter rapidement exploitée pour générer des revenus
Le spam sur les réseaux sociaux a constitué un autre trouble-fête important au cours du second
semestre 2010. La plupart des vagues de spam diffusées via des plateformes de réseaux sociaux
étaient liées à l’activité d’applications malveillantes publiant du contenu choquant au nom des
utilisateurs. Certains messages de spam sont destinés à vendre des produits et des services, alors
que d’autres visent à recueillir des informations sur les victimes et leur cercle d’amis.
Rapport sur l’état des e-menaces – 2nd semestre 2010
21
Document 7 : Publicités pour des produits permettant d’améliorer les performances sexuelles envoyées sur des groupes Yahoo!
Le Spam en revue
L’industrie du spam a été fortement affectée au second semestre 2010, l’un des principaux
programmes d’affiliation ayant définitivement fermé. Le domaine spamit.com, célèbre site pour les
spammeurs souhaitant transformer leurs botnets en véritables vaches à lait, était notamment connu
pour son lien avec Canadian Pharmacy.
Notons, au second semestre 2010, une diminution considérable du spam présentant des
médicaments, qui est passé de 66% de l’ensemble du spam au premier semestre à 48% au second.
Canadian Pharmacy ayant quasiment disparu à compter d’octobre et d’autres botnets tels que
Pushdo et Mega-D étant sérieusement touchés par la fermeture de C&C, le volume global de spam a
considérablement diminué, tout en conservant la même répartition qu’au semestre précédent.
Le spam lié aux casinos a augmenté, ce qui indique que le botnet Crypt.HO / Maazben a été actif et a
augmenté la diffusion de spam, compensant la baisse d’activité des botnets Rustock et Grum,
quasiment inertes depuis début octobre.
Rapport sur l’état des e-menaces – 2nd semestre 2010
22
Document 8: Répartition du spam par catégories
Bien que le nombre de messages de spam envoyés par jour ait diminué, le spam promouvant des
produits pharmaceutiques n’a pas complètement disparu, mais a évolué. Les nouveaux messages de
spam présentent toujours de faux médicaments fabriqués en Chine, mais les modèles habituels volés
à de véritables newsletters ont fait place à de nouvelles présentations comme celle de l’image ci-
dessous :
Document 9 : Nouveaux modèles d’e-mails pour le spam médical
Le spam lié aux casinos et aux paris en ligne a connu une progression importante, passant de la
cinquième à la deuxième place en un semestre. Le spam présentant des produits de contrefaçon a
quant à lui perdu une place. Si la plupart des modèles d’e-mails utilisaient des images en abondance,
les campagnes actuelles de produits de contrefaçon consistent principalement en du texte
accompagné d’un lien hypertexte.
48,12%
18,91%
6,93%
7,13%
4,95%
4,46% 3,17%
0,69% 0,99% 0,30% 0,20% 4,16%Pharmaceuticals
Casino
Replica
Loans
Software
Diploma
Employment
Malware
Dating + Adult
Scams
Phishing
Other
Rapport sur l’état des e-menaces – 2nd semestre 2010
23
Document : Spam présentant des produits de contrefaçon utilisant des modèles HTML simples
Les messages de spam accompagnés de malwares ont diminué au cours du second semestre 2010.
Parmi les malwares les plus transmis par spam se trouvent le botnet Zeus, plusieurs variantes de
Bredolab ainsi qu’un grand nombre de fichiers PDF malveillants exploitant plusieurs vulnérabilités
d’Adobe Reader PDF.
Les tendances du spam au second semestre 2010
Le spam est passé de 86,2% à 85,1% de l’ensemble des e-mails envoyés. En moyenne, un message
de spam pèse 4 Ko et le texte est le format de prédilection pour l’envoi d’e-mails non sollicités. En
fonction de la campagne de spam, la taille d’un e-mail varie entre 3 et 9 Ko.
Le troisième trimestre 2010 a vu un afflux massif de spam envoyé par Canadian Pharmacy,
comprenant des messages avec de grandes images, qui ont ensuite disparu de la circulation dès le
mois d’octobre, avec la fermeture du programme d’affiliation SpamIt. La plupart du spam lié aux
produits pharmaceutiques envoyé pendant le dernier trimestre concerne des médicaments pour
perdre du poids et améliorer ses performances sexuelles vendus par une nouvelle entreprise nommée
« US Drugs ». Les messages de spam promouvant ces produits sont généralement envoyés en texte
en clair et accompagnés de liens hypertextes vers des noms de domaines aléatoires de 5 lettres
enregistrés en Russie, agissant comme des proxys et redirigeant l’utilisateur vers des « clones » des
sites web.
Phishing et vol d’identité
Le phishing cible traditionnellement les services bancaires en ligne ainsi que d’autres institutions
financières. Cependant, si au premier semestre 2010 Paypal constituait la principale cible des
cybercriminels, le phishing s’est ensuite tourné vers les réseaux sociaux et les communautés de jeux
Rapport sur l’état des e-menaces – 2nd semestre 2010
24
en ligne. Le classement BitDefender sur le phishing place Facebook en tête des institutions et
services les plus touchés.
Document 14 : Les 10 institutions et services les plus victimes de phishing au second semestre 2010
Cette progression rapide de la la quatrième place à la tête du classement révèle l’importance
qu’accordent les phishers aux données personnelles, qui peuvent être utilisées à diverses fins : pour
créer des profils d’utilisateurs en fonction de leurs intérêts, pour élaborer des bases de données
d’informations personnelles qui seront vendues à d’autres spammeurs, ou pour réaliser des attaques
de spear-phishing contre les amis de la victime et les amis de ses amis.
43,59%
21,66%
21,33%
3,71%
3,36% 2,75% 1,26% 0,87% 0,86% 0,60%Facebook
PayPal
Visa
WOW
eBay
HSBC
Capital One
Bank Of America
Lloyds
Steam
Rapport sur l’état des e-menaces – 2nd semestre 2010
25
Document 10 : Message de phishing prétendant que le compte Facebook de l’utilisateur a été désactivé
Le service de traitement des paiements Paypal apparaît en seconde position dans le classement des
marques les plus touchées par le phishing au second semestre 2010. Parmi la multitude de vagues
de spam ciblant ce service se trouve un message provenant de Roumanie demandant aux utilisateurs
de confirmer leurs données afin de débloquer leur compte et de pouvoir obtenir leurs paiements à
temps.
Document 11 : Page de phishing imitant PayPal hébergée sur des serveurs « fast-flux »
Rapport sur l’état des e-menaces – 2nd semestre 2010
26
Bien que les principales cibles des cyber-escrocs au cours du second semestre 2010 aient été les
réseaux sociaux et les processeurs de paiements, les communautés de jeux en ligne telles que
Steam® et World of Warcraft® ont été exploitées de façon intensive. Les comptes de jeux en ligne
sont particulièrement rentables, car ils contiennent soit des numéros de série de jeux pouvant être
revendus via les portails de « Logiciels OEM » soit des ressources (or et objets virtuels) pouvant être
transférées à d’autres joueurs en échange d’argent (bien réel).
Vulnérabilités, exploits & brèches de sécurité
Tout comme le premier semestre 2010, le second semestre a été extrêmement riche en exploits de
type « zero-day » et en brèches de sécurité. Ces failles vont des exploits « classiques » de type
« zero-day » affectant Adobe Reader et les applications Acrobat antérieures à la version X4 au code
extrêmement sophistiqué tirant profit de multiples vulnérabilités comme cela a été le cas avec le ver
Stuxnet. Le mois d’août a compté pas moins de 14 bulletins de sécurité pour les produits Microsoft,
dont six ont été qualifiés de « critiques », un record absolu de hotfixes pour le « Patch Tuesday ».
Présentation des Exploits
Le début du mois de septembre a été marqué par quelques failles de type « zero-day » exploitées
simultanément par l’outil d’espionnage industriel Stuxnet. Outre la célèbre vulnérabilité MS08-067
(déjà patchée) utilisée par le ver Conficker, Stuxnet a introduit une nouvelle faille LNK (Raccourci
Windows) identifiée par BitDefender sous le nom de Exploit.CplLnk.Gen, un bug de type « zero-day »
dans le service spouleur d’impression permettant à du code arbitraire d’être transféré et exécuté sur
une machine à distance, et deux autres failles permettant une élévation de privilèges afin que du code
malveillant s’exécute avec les droits administrateur. Le nombre impressionnant d’infections dans le
monde a propulsé l’exploit du lien vers le Panneau de Configuration à la neuvième place dans le
classement BitDefender du deuxième semestre 2010.
Le lecteur populaire Winamp a également été victime de quatre vulnérabilités critiques dans ses
versions 5.x, permettant à un utilisateur d’ouvrir un backdoor à distance. Le code de l’exploit est placé
4 La version 10 de la célèbre application PDF Reader est munie d’un mode de protection de type sandbox (bac à sable) afin d’isoler les processus de Reader les uns des autres, ainsi que des autres processus du système. En les isolant, l’application exécute tout dans un environnement extrêmement confiné, avec un minimum de privilèges sur la machine en question.
Rapport sur l’état des e-menaces – 2nd semestre 2010
27
dans un fichier MTM malformé et se déclenche uniquement lorsqu’un fichier spécifique est chargé
dans la playlist ou lorsque ses propriétés sont affichées.
Les navigateurs Internet ont également vécu des moments difficiles au cours du second semestre. La
plupart des packs d’exploits vendus illégalement sur des forums, comme Eleonore et Crimepack,
contiennent du code malveillant pour exploiter des vulnérabilités dans les navigateurs Internet
Explorer5 et Firefox6.
L’on a également assisté fin octobre à une série d’exploits conçus pour les versions 3.5 et 3.6 de
Mozilla Firefox. Le code de l’exploit a été placé via des injections iFrame sur de prestigieux sites web
tels que celui du Prix Nobel, entre autres. Cet exploit implique le déclenchement d’une erreur
d’utilisation après libération, une technique utilisée avec succès par des attaquants dans l’Exploit
ciblant IE8 en janvier, connu sous le nom d’Opération Aurora .
Un autre bug important de type « zero-day » sur les plateformes Windows a été découvert fin
novembre et touche le noyau Windows en lui-même. La vulnérabilité permet à un attaquant de
contourner le Contrôle de Compte Utilisateur sur les systèmes Windows Vista et Windows 7. Un
exemple de « preuve de concept » fonctionnant accompagné d’’explications « pas-à-pas » pour
l’exploiter ont été disponibles sur un forum de programmation extrêmement populaire pendant
quelques heures.
Le code de l’exploit exploite une faille de programmation dans la fonction NtGdiEnableEudc() de
wi32k.sys. L’auteur du code de la « preuve de concept » parcourt les processus ouverts via
IoGetCurrentProces() et recherche « services.exe ». Une fois qu’il l’a trouvé, il copie son jeton de
sécurité et écrase le jeton de sécurité d’un autre processus (dans ce cas, le malware).
Autres risques de sécurité
En août, des chercheurs en sécurité ont découvert une vulnérabilité dans la façon dont sont conçues
de nombreuses applications. Cette faille dans le chargement des DLL affecte la façon dont les
applications essaient de charger un ou plusieurs fichiers DLL à partir de dossiers externes au
répertoire Windows. En résumé, un attaquant peut exécuter du code malveillant lorsque qu’un type de
fichier vulnérable est ouvert à partir d’un répertoire contrôlé par l’attaquant.
Ce type d’exploitation est possible lorsque des utilisateurs exécutent ou chargent des fichiers à partir
d’une archive extraite, d’un partage réseau distant ou d’un lecteur USB, même si le fichier ouvert par
l’utilisateur ne contient pas de code exécutable.
5 Ces « crimepacks comprennent deux codes d’exploits pour Internet Explorer : MS09-002 (exploit Internet Explorer 7 1/2009) et MDAC – ActiveX (exploit Internet Explorer, 3/2007). 6 Le seul exploit pour Firefox inclus dans le pack Eleonore cible une vulnérabilité de 2005. Les nouveaux navigateurs ne sont plus vulnérables au code Eleonore.
Rapport sur l’état des e-menaces – 2nd semestre 2010
28
À ce jour, les lecteurs multimédias sont les plus susceptibles d’être exploités, puisque les utilisateurs
considèrent les formats de fichiers avi et mp3 comme étant sûrs. Cependant, au moment de les
charger à partir d’un dossier partagé distant, le lecteur multimédia commence par rechercher et
télécharger un ou plusieurs fichiers DLL dans le même répertoire que celui du fichier ouvert.
Prévisions concernant les e-menaces
L’année 2010 a réservé de nombreuses surprises inattendues dans le domaine de la sécurité. L’activité des e-
menaces a été inhabituelle, avec notamment l’apparition du ver Stuxnet. De plus, les événements récents
concernant le scandale Wikileaks ont été à l’origine d’une vague massive de protestations de la part de
certains groupes d’utilisateurs d’Internet, qui ont tourné leur Low-Obrit Ion Canons contre les institutions ayant
cessé de soutenir Wikileaks ou ayant condamné publiquement ses actions.
La vague massive d’attaques de déni de service distribué a paralysé l’activité en ligne de fournisseurs
de services Internet, d’organismes de paiement et de sites web de gouvernements. Contrairement
aux attaques DDoS classiques, qui exploitent des ordinateurs infectés pour envoyer des paquets
contre leurs victimes, il s’agissait d’un effort coordonné de millions d’utilisateurs ayant volontairement
confié leurs ordinateurs à des inconnus afin de fournir une force de frappe suffisante.
L’activité des botnets
Pendant des années, les botnets ont constitué le cœur de l’industrie des malwares. Ces hordes
d’ordinateurs zombies peuvent être utilisés pour envoyer du spam, lancer des attaques DDoS, fournir
un hébergement gratuit pour des pages de phishing et des malwares, ou proposer des proxys pour
des fraudes liées aux cartes bancaires. La fermeture récente du service SpamIt a considérablement
réduit la quantité de spam envoyée via les bots infectés, mais n’a nullement perturbé l’infrastructure
du botnet.
De nombreux programmes d’affiliation apparaîtront en 2011, ceux qui existent seront renforcés, et la
production de spam retrouvera des « niveaux normaux », avec le spam médical en tête.
Les botnets classiques composés d’ordinateurs infectés seront accompagnés de nouvelles menaces
issues de botnets créés avec le consentement des utilisateurs. Ces réseaux d’ordinateurs se
consacreront principalement à la mise en place d’attaques DDoS comme forme de protestation
sociale, contre des institutions réglementant l’utilisation d’Internet.
Rapport sur l’état des e-menaces – 2nd semestre 2010
29
Les applications malveillantes
En 2011, les auteurs de malwares veilleront particulièrement à la discrétion de leurs programmes. Les
malwares signés avec d’authentiques certificats numériques, volés, ou avec des certificats contrefaits
(comme cela a été le cas pour Stuxnet et de nombreuses variantes de ZBot) ayant connu un début
très prometteur, ils seront sans doute également présents en 2011. Cetaines solutions de sécurité
n’analysant pas les binaires signés numériquement, cette méthode permet aux malwares d’installler
des pilotes en mode kernel même sur Windows Vista et Windows 7.
Des applications rogue dans tous les domaines : les faux logiciels antivirus ne sont plus une
nouveauté. Depuis 2008, les faux antivirus n’ont pas tellement changé et les utilisateurs commencent
à les reconnaître. L’on assistera en 2011 à une offre d’utilitaires plus importante, allant des faux
défragmenteurs de disques aux fausses applications d’optimisation.
Les réseaux sociaux Les réseaux sociaux sont devenus un phénomène mondial : en moins de 6 mois, la base d’utilisateurs
de Facebook et passée de 400 à 500 millions de comptes actifs, qui publient et mettent à jour un
grand nombre de données personnelles. Les phishers peuvent confirmer des informations à partir de
profils de réseaux sociaux grâce aux données concernant le lieu de travail des utilisateurs, afin de
lancer des attaques d’ingénierie sociale de haut niveau et d’installer des menaces sophistiquées dans
des réseaux d’entreprise et de les utiliser pour effectuer de l’espionnage industriel ou à d’autres fins
illégales. BitDefender estime que 2011 verra l’apparition d’un grand nombre d’applications et de
plugins rogue pour réseaux sociaux, qui tenteront de générer des revenus grâce aux utilisateurs en
les redirigeant vers des sondages ou en parvenant à leur faire installer des adwares.
Les autres menaces L’accès généralisé à la nouvelle technologie HTML 5 offrira aux utilisateurs de nouveaux moyens
d’interagir avec les médias en ligne. HTML 5 étant intégré à tous les principaux navigateurs, il
pourrait devenir exploitable quels que soient la plateforme du système d’exploitation et le navigateur.
Les exploits de type « zero-day » joueront un rôle clé dans la diffusion des malwares en 2011. Avec
des packs tels qu’Eleonore, Crime Pack, Fragus, Siberia et le futur kit d’exploits Ares, la création de
malwares est devenue accessible à tous, quel que soit le niveau technique.
Les malwares multiplateformes : l’apparition du cheval de Troie Java Boonana
(Java.Trojan.Boonana.A), affectant à la fois les utilisateurs de Mac OS X et de Windows constitue
Rapport sur l’état des e-menaces – 2nd semestre 2010
30
une réussite dans la mesure où un seul malware cible deux des principaux systèmes d’exploitation
au monde. Le nombre de vers et de chevaux de Troie multiplateformes continuera probablement à
augmenter en 2011.
Les systèmes d’exploitation pour appareils mobiles
Les smartphones gagnent rapidement des parts de marché et la présence accrue de bornes Wifi
dans les zones urbaines offre déjà une connexion illimitée à Internet aux utilisateurs de ces
appareils. Cela augmentera le nombre de tentatives de phishing exploitant le petit écran des
téléphones portables pour inciter les utilisateurs à divulguer des informations sensibles lorsqu’ils
effectuent des achats en ligne ou des transactions bancaires.
L’essor rapide du système d’exploitation Android de Google et la disponibilité d’un kit de
développement logiciel intuitif réduiront les efforts des auteurs de malwares pour créer des
applications rogue à la fois pour les téléphones Android et les futures tablettes PC Android.
Les malwares ciblant les téléphones Android sont déjà présents. Il existe de fausses applications
composant des numéros surtaxés, ainsi qu’une e-menace aux capacités de botnet nommée
« Geinimi », qui dérobe des données personnelles et des contacts. Android étant un système
d’exploitation open-source extrêmement souple, les auteurs de malwares ne tarderont pas à
concevoir des malwares prenant le contrôle total du téléphone infecté.
Rapport sur l’état des e-menaces – 2nd semestre 2010
31
Avertissement
Les informations et les données exposées dans ce document reflètent le point de vue de BitDefender® sur les sujets abordés à la date de sa publication. Ce document et les informations qu’il contient ne peuvent en aucun cas être interprétés comme un engagement ou un accord de quelque nature que ce soit.
Bien que toutes les précautions aient été prises lors de l’élaboration de ce document, l’éditeur, les auteurs et les collaborateurs se dégagent de toute responsabilité en cas d'erreurs et/ou d'omissions. Ils ne sauraient être tenus pour responsables des dommages consécutifs à l’utilisation des informations qu’il contient. De plus, les informations contenues dans ce document sont susceptibles d’être modifiées sans avertissement préalable. BitDefender, l’éditeur, les auteurs et les collaborateurs ne peuvent garantir que ce document sera repris ultérieurement, ni qu’il fera l’objet de compléments ou de mises à jour.
Ce document et les données qu’il contient sont publiés à titre strictement informatif. BitDefender, l’éditeur, les auteurs et les collaborateurs ne fournissent aucune garantie expresse, implicite ou légale relatives aux informations mentionnées dans ce document.
Le contenu de ce document peut ne pas être adapté à toutes les situations. Si une assistance professionnelle est nécessaire, les services d’un professionnel compétent doivent être sollicités. Ni BitDefender, ni les éditeurs du document, ni les auteurs ni les collaborateurs ne peuvent être tenus pour responsables des préjudices pouvant résulter de la consultation du document.
Le fait qu’une personne ou une organisation, un travail individuel ou collectif, y compris des textes imprimés, des documents électroniques, des sites Web, etc., soient mentionnés dans ce document en tant que référence et/ou source d’information actuelle ou future, ne signifie pas que BitDefender, l’éditeur du document, les auteurs ou les collaborateurs avalisent les informations ou les recommandations que peuvent fournir la personne, l’organisation, les travaux individuels ou collectifs, y compris les textes imprimés, les documents électroniques, les sites Web, etc.
Les lecteurs doivent également savoir que BitDefender, l’éditeur du document, les auteurs ou les collaborateurs ne peuvent garantir l’exactitude d’aucune des informations fournies dans ce document au-delà de sa date de publication, y compris, mais non exclusivement, les adresses Web et les liens Internet indiqués dans ce document qui peuvent avoir changé ou disparu entre le moment où ce travail a été réalisé et publié et celui où il est lu.
Le respect de l'ensemble des lois internationales applicables au copyright émanant de ce document relève de la pleine et entière responsabilité des lecteurs. Les droits relevant du copyright restant applicables, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de récupération des données, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopies, enregistrement ou autres), ou dans quelque but que ce soit, sans l’autorisation expresse et écrite de BitDefender.
BitDefender peut posséder des brevets, des brevets déposés, des marques, des droits d’auteur, ou d’autres droits de propriété intellectuelle se rapportant au contenu de ce document. Sauf indication expresse figurant dans un contrat de licence écrit émanant de BitDefender ce document ne concède aucune licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle.
Tous les autres noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.
Copyright © 2011 BitDefender. Tous droits réservés.