1. Cybermenaces financires en 2013. 1re partie : phishing Kaspersky Lab

2. Kaspersky Lab Cybermenaces financires en 2013 _Toc383623429 Introduction : argent et risques dans le contexte de l'utilisation de plusieurs priphriques 2 Mthodologie du rapport ....................................................................................................3 Principales conclusions ......................................................................................................4 Menaces de phishing .........................................................................................................4 Attaques et utilisateurs....................................................................................................5 Gographie des attaques................................................................................................6 Cibles .............................................................................................................................8 Attaques financires : une tendance inquitante........................................................... 11 Gros plan sur les cibles exploites par le phishing financier ......................................... 13 Analyse dtaille de la dynamique des attaques........................................................... 19 Phishing contre OS X : premiers signes d'une menace grandissante ........................... 20 3. Kaspersky Lab Cybermenaces financires en 2013 Introduction : argent et risques dans le contexte de l'utilisation de plusieurs priphriques Les cybercriminels qui recherchent les mthodes pour drober l'argent des utilisateurs de magasin en ligne, de porte-monnaie lectroniques ou de systme de transactions bancaires par Internet ne datent pas d'hier. Ceci tant dit, le domaine d'activits de ces escrocs avait t limit pendant longtemps, principalement en raison de la diffusion relativement faible des modes de paiement lectroniques. Ces dernires annes, l'argent lectronique a occup une place de plus en plus importante. Le confort d'utilisation et la disponibilit globale des systmes de paiement lectroniques et des services de transactions bancaires par Internet attirent de nombreux utilisateurs et les rgulateurs du secteur financier ainsi que les banques de nombreux pays envisagent srieusement le retrait pur et simple de l'argent en liquide dans les conomies nationales au profit d'argent dmatrialis. Les statistiques tires d'un sondage international ralis par l'agence B2B International en coopration avec Kaspersky Lab en 2013 confirme la croissance de la popularit des paiements numriques : 98 % des personnes interroges ont affirm qu'elles utilisaient rgulirement les services de transactions bancaires par Internet, les porte-monnaie lectroniques et les magasins en ligne. La tendance l'utilisation de modes de paiement dmatrialiss s'accompagne d'une augmentation du nombre de priphriques capables de raliser des transactions financires. D'aprs les donnes de l'enqute cites ci-dessus, les ordinateurs de bureau et les ordinateurs portables demeurent les principaux "priphriques" qui interviennent dans l'utilisation de services financiers. 87 % des participants ont affirm qu'ils ralisaient les oprations financires lectroniques au dpart de leur ordinateur de bureau ou de leur ordinateur portable. Toutefois, la part de priphriques nomades utiliss aux mmes fins n'est pas ngligeable elle non plus : les tablettes ou les smartphones taient les priphriques privilgis de 22 et 27 % respectivement des participants pour la ralisation d'oprations financires. Les individus malintentionns ont bien entendu observ ces tendances. La hausse croissante du nombre d'utilisateurs de tous les systmes possibles de paiement lectronique attire les criminels et ceux-ci investissent de plus en plus de ressources dans le dveloppement d'escroqueries qui leur permettent d'accder d'abord aux donnes financires des victimes, puis l'argent en lui-mme. Bien que les attaques financires figurent parmi les attaques les plus complexes et les plus chres organiser, elles figurent galement parmi celles qui sont les plus rentables pour les cybercriminels car en cas de russite, ils ont accs directement l'argent des victimes. Tout ce qui leur reste faire alors est de prendre l'argent et de le blanchir. L'auteur d'un programme malveillant ou l'oprateur d'un rseau de zombies pour attaques DDoS ou diffusions de messages non sollicits doit, quant lui, trouver des acheteurs pour ses services. 4. Kaspersky Lab Cybermenaces financires en 2013 Kaspersky Lab compte plus de 16 ans d'exprience dans le dveloppement de solutions de protection contre toutes les cyberattaques possibles et imaginables, y compris les attaques financires. Il est impossible de dvelopper de telles technologies sans une analyse constante des nouveaux modles de programmes malveillants, des astuces d'ingnierie sociale et des autres outils largement employs par les criminels qui laborent ces escroqueries financires. Une des conclusions les plus videntes que l'on peut tirer de ces analyses, c'est la multitude des moyens qui interviennent dans les attaques malveillantes financires, la diffrence des nombreux autres types d'attaque : depuis les pages de phishing qui imitent les pages de sites Internet d'institutions financires licites jusqu' l'exploitation de vulnrabilits dans des applications populaires ou la cration sur commande de programmes malveillants. Vu la complexit des cyberattaques financires, l'analyse de leur influence sur le niveau de scurit des internautes requiert une dmarche structure. C'est la raison pour laquelle dans le cadre de l'laboration de ce rapport, les experts de Kaspersky Lab ont tenu compte non seulement des menaces sous Windows, mais galement des menaces pour Mac OS X et Android ; de mme, ils se sont intresss aux programmes malveillants qui prsentaient un potentiel pour voler des donnes financires en plus des programmes malveillants "spcialiss". Et ils ont tudi aussi bien la diffusion de chevaux de Troie dangereux que les attaques de phishing qui peuvent tre trs efficaces dans l'obtention des prcieuses donnes financires. Kaspersky Lab est convaincue que cette mthode est la seule qui permette d'atteindre l'objectif de ce rapport : dresser un tat des lieux le plus complet possible des cybermenaces qui planent sur les services financiers en ligne et tenter simultanment d'valuer l'ampleur du danger que celles-ci reprsentent. Mthodologie du rapport Le prsent rapport repose sur des donnes obtenues auprs des participants au Kaspersky Security Network, ce service international distribu dans le Cloud dont l'objectif est de ragir efficacement aux donnes relatives aux menaces rencontres par les utilisateurs des produits de Kaspersky Lab. Kaspersky Security Network a t cr pour pouvoir fournir aux utilisateurs des produits de la socit toutes les informations relatives aux menaces les plus rcentes. Grce ce rseau, l'intervalle de temps entre la dcouverte d'une menace inconnue jusque l et l'ajout des signatures pour cette menace dans les bases se mesure en minutes. L'autre fonction de Kaspersky Security Network est le traitement des statistiques anonymes sur les menaces qui touchent les ordinateurs des utilisateurs. Les utilisateurs participent volontairement au Kaspersky Security Network. Les donnes obtenues auprs de ces utilisateurs ont t exploites dans la ralisation du prsent rapport. Dans le cadre de ce rapport, nous avons tenu compte des informations relatives au nombre de dclenchements des modules des produits de Kaspersky Lab qui assurent la protection contre le phishing (sous Microsoft Windows et Apple OS X), contre les applications malveillantes (sous Windows) et contre les applications malveillantes pour appareils mobiles (sous Google Android). De plus, les statistiques des utilisateurs attaqus ont galement t prises en compte pour les sous-systmes de protection des produits de Kaspersky Lab qui le permettaient. Le rapport fournit galement une analyse de la gographie des attaques et de leur intensit. 5. Kaspersky Lab Cybermenaces financires en 2013 L'tude porte sur l'ensemble de l'anne 2013 et les comparaisons ont t ralises par rapport aux donnes rcoltes en 2012. Les cibles employes dans les campagnes de phishing, le nombre de tentatives bloques de chargement de pages factices de systmes de paiement, de service de transactions bancaires par Internet, de magasins en ligne ou autres organisations caractre financire font l'objet de l'tude. De plus, les experts de Kaspersky Lab ont choisi quelques dizaines d'exemplaires de programmes malveillants spcialement dvelopps pour voler des donnes financires et ils ont analys leur propagation sur l'ensemble de la priode tudie. Vu que l'anne 2013 aura t marque par la popularit de la cryptodevise Bitcoin, les experts de Kaspersky Lab ont trait part les menaces lies la gnration et au vol de cette devise et ont suivi leur volution. Principales conclusions D'aprs les donnes envoyes par les sous-systmes de protection des produits de Kaspersky Lab, le nombre d'attaques caractre financier, qu'il s'agisse de phishing ou d'attaques l'aide d'un programme malveillant, ont considrablement augment en 2013. Voici les chiffres obtenus pour la priode couverte par notre tude : Le secteur financier aura t impliqu dans 31,45 % des attaques de phishing en 2013. 22,2 % de l'ensemble des attaques impliquaient de faux sites de banque ; par rapport 2012, la part du phishing bancaire a doubl. 59,5 % des attaques de phishing bancaire exploitaient le nom de seulement 25 banques internationales. Les autres attaques visaient plus de 1 000 autres banques. 38,92 % de l'ensemble des dclenchements des technologies de protection de Kaspersky Lab sur des Mac ont t provoqus par des pages de phishing "financier". Plus loin dans ce rapport, nous aborderons en dtail la dynamique des attaques ainsi que la liste des cibles et sa rpartition gographique. Menaces de phishing Le phishing ou la cration de copies factices de sites dans le but d'obtenir les donnes confidentielles des utilisateurs est une menace bien rpandue. Cela tient pour beaucoup au fait que la mise en uvre de la campagne de phishing la plus lmentaire ne requiert pas de connaissances spciales en programmation de la part du cybercriminel. Il lui suffit de connatre les bases de la cration de pages Web. L'objectif principal du phishing est de convaincre la victime qu'elle se trouve bien sur le site d'origine et non pas sur un site factice. Ces tentatives sont souvent couronnes de succs et c'est la raison pour laquelle les campagnes de phishing sont souvent utilises aussi bien en tant qu'outil principal pour obtenir des informations importantes sur les utilisateurs, qu'en tant que partie d'une attaque complexe afin d'attirer la victime sur un site d'o un programme malveillant sera tlcharg. 6. Kaspersky Lab Cybermenaces financires en 2013 Dans le cadre de cette tude, nous avons pu confirmer que les pages de phishing sont trs souvent utilises dans le cadre de cyberattaques qui visent voler les donnes financires des utilisateurs. Mais avant de passer l'analyse dtaille de ces attaques, il convient de dresser le tableau gnral des menaces de phishing en 2013. Attaques et utilisateurs Les solutions de protection de Kaspersky Lab disposent de quatre sous-systme de protection contre les attaques de phishing. Les bases anti-phising, l'instar des bases des signatures des programmes malveillants, sont enregistres sur les priphriques des utilisateurs et contiennent la liste des liens de phishing les plus rpandus et les plus rcents au moment de la publication de ces bases. Le deuxime sous-systme est une base anti- phishing dans le Cloud consulte par les solutions de protection de Kaspersky Lab lorsque l'utilisateur rencontre un lien suspect dont les informations ne figurent pas encore dans la base anti-phishing locale. Cette base est actualise plus vite que les bases locales et permet d'identifier les attaques de phishing les plus rcentes. De plus, les produits de Kaspersky Lab intgrent deux systmes automatiques de dtection des liens et des pages de phishing : un systme pour la messagerie et l'autre pour Internet. Le systme de messagerie analyse les liens dans les messages lectroniques de l'utilisateur si celui-ci utilise un des clients de messagerie rpandus (Microsoft Outlook, etc.). Le systme de dtection automatique pour Internet analyse tout ce qui s'affiche dans le navigateur de l'utilisateur sur la base d'une slection de rgles heuristiques et il est en mesure d'identifier les toutes nouvelles pages de phishing qui ne figurent dans aucune des bases. Pour le prsent rapport, Kaspersky Lab a utilis les donnes fournies uniquement par le systme de dtection Internet car, en gnral, il se dclenche uniquement si les informations relatives la nouvelle page de phishing ne figurent pas dans les bases de Kaspersky Lab et qui plus est, il est capable de dterminer la cible exploite dans l'attaque de phishing, la diffrence des bases locales et dans le Cloud. De plus, alors que les bases anti-phishing sont en mesure de dceler une attaque de phishing par la simple prsence de liens dans le message ou dans les rsultats de recherche de Google, le systme automatique de dtection Internet se dclenche lorsque l'utilisateur clique sur le lien, autrement dit lorsque la personne est dj partiellement tombe dans le pige prpar par les individus malintentionns. 7. Kaspersky Lab Cybermenaces financires en 2013 Part des dtections par l'anti-phishing Internet sur l'ensemble des dtections en 2013 D'aprs les donnes de Kaspersky Lab, prs de 39,6 millions d'utilisateurs ont t confronts du phishing en 2013. Par rapport 2012, il s'agit d'une lgre augmentation de 2,32 %. Plus de 600 millions de notifications de confrontation des liens ou des pages de phishing ont t mises par l'ensemble des sous-systmes de protection contre le phishing de Kaspersky Lab. Ce chiffre est comparable celui de 2012. Le nombre d'attaques bloques par l'anti-phishing Internet heuristique a considrablement augment au cours de cette mme priode : il progresse en effet de 22,2 % et passe de 270 millions en 2012 environ 330 millions en 2013. Ceci s'explique en partie par l'amlioration continue du systme de dtection heuristique. Gographie des attaques En 2013, la majorit des attaques de phishing bloques par Kaspersky Lab a touch les Etats-Unis : les utilisateurs de ce pays ont t victimes de 30,8 % de l'ensemble des attaques. Viennent ensuite la Russie (11,2 %) et l'Allemagne (9,32 %). 8. Kaspersky Lab Cybermenaces financires en 2013 Pays les plus souvent attaqus en 2013 Les donnes fournies ici et aprs proviennent de Kaspersky Security Network Par rapport 2012, le classement des pays le plus souvent attaqus a subi des modifications considrables. Par exemple, la part d'attaques contre les utilisateurs en Russie a recul de 9,19 points de pour cent tandis que la part d'attaques contre les utilisateurs aux 9. Kaspersky Lab Cybermenaces financires en 2013 Etats-Unis a quant elle considrablement augment, passant de 17,56 % en 2012 30,8 % en 2013. La part d'attaques contre les utilisateurs en Allemagne a galement augment de 3,49 points de pour cent et est passe de 5,83 9,32 %. Il existe plusieurs explications pour cette rpartition gographique des attaques. Nous avions dj observ ce phnomne de rduction du nombre d'attaques dans certains pays et de son augmentation dans d'autres dans des rapports antrieurs. Le renforcement de la lutte contre la cybercriminalit, les procdures plus complexes d'enregistrement de noms de domaine, etc. peuvent entraner une rduction du nombre d'attaques. L'augmentation peut quant elle tre provoque par une croissance "naturelle" du nombre d'internautes et de ressources Internet distinctes : rseaux sociaux, magasins en ligne, etc. Plus la frquence de consultation de pages Web dans un pays donn augmente, plus le risque d'exposition des pages de phishing augmente galement. Cibles Comme l'illustre le diagramme ci-dessous, la majorit des attaques en 2013 a exploit les rseaux sociaux :prs de 35,4 %. Les cibles exploites par le phishing financier tels que les copies de site de banques, de systmes de paiement ou de magasins en ligne sont intervenues dans prs de 31,45 % des attaques. Les systmes de messagerie occupent la 3e place avec 23,3 %. 10. Kaspersky Lab Cybermenaces financires en 2013 Cibles exploites par le phishing en 2013 On constate avec intrt que la rpartition des cibles en fonction du type a fortement chang par rapport 2012. La part d'attaques impliquant des pages factices de rseaux sociaux a augment de 6,79 points de pour cent pour atteindre 35,39 %. La part d'attaques financires quant elle a augment de 8,5 points de pour cent pour atteindre 31,45 %. De son ct, la 11. Kaspersky Lab Cybermenaces financires en 2013 part d'attaques impliquant des sites factices de services de messagerie s'est contracte de 10,5 points de pour cent pour atteindre 23,3 %. Les jeux en ligne sont passs de 3,14 % en 2012 2,33 % en 2013. Cibles exploites par le phishing en 2012 et 2013 La tendance la plus remarquable observe entre 2012 et 2013, c'est l'augmentation de la part d'attaques financires, ce qui nous amne raliser une analyse plus dtaille de la dynamique de ces attaques. 12. Kaspersky Lab Cybermenaces financires en 2013 Attaques financires : une tendance inquitante En 2012, sur 22,95 % des attaques de phishing visant tous les services financiers imaginables, 11,92 % impliquaient des faux sites de banques et de services de transactions bancaires par Internet ;5,66 %, des magasins en ligne et 5,37 %, des sites de systmes de paiement. Phishing financier en 2012 En 2013 par contre, il y a eu de grands chamboulements dans la rpartition des attaques au sein de la catgorie Finances en ligne. La part d'attaques de phishing impliquant des banques a presque doubl pour atteindre 22,2 % ; la part des magasins en ligne a lgrement augment et est passe de 5,66 6,51 % tandis que la part des systmes de paiement a recul de 2,63 points de pour cent. Une seule conclusion s'impose : les individus malintentionns prtent de plus en plus attention aux services bancaires en ligne. Il s'agit d'une des tendances les plus marques dans le domaine des menaces de type phishing. 13. Kaspersky Lab Cybermenaces financires en 2013 Cibles exploites par le phishing financier en 2013 La tendance se marque encore plus clairement si l'on examine le phishing financier l'cart des autres catgories. Les fausses pages de banques ont provoqu en 2013 70,59 % de l'ensemble des dclenchements de l'anti-phishing Internet de Kaspersky Lab dans la catgorie Finances en ligne alors qu'un an auparavant, la part du phishing bancaire dans l'ensemble des menaces de phishing atteignait 51,95 %. La part des attaques contre les magasins en ligne a recul de 24,66 % en 2012 20,71 % en 2013. La part des attaques contre les systmes de paiement a chut de 23,39 % 8,7 %. 14. Kaspersky Lab Cybermenaces financires en 2013 Phishing financier uniquement, en 2012 Phishing financier uniquement, en 2013 Gros plan sur les cibles exploites par le phishing financier Banques Bien que les bases anti-phishing de Kaspersky Lab contiennent plus de 1 000 noms de banques qui ont t utilises par des criminels dans le cadre d'attaques ou qui pourraient l'tre l'avenir en raison de leur popularit, la majorit des attaques de phishing organises l'aide de fausses pages de banque n'a utilis que 25 organisations actives dans le secteur bancaire. Ces 25 banques ont t exploites dans prs de 59,5 % de l'ensemble des attaques bancaires. Toutefois, il faut signaler que la majorit des noms repris dans cette liste appartient de grandes banques internationales prsentes dans des dizaines de pays travers le monde. La diffusion et la reconnaissance d'une marque sont deux des principaux lments utiliss par les individus malintentionns qui laborent les attaques de phishing. En effet, plus une marque est populaire, plus les criminels peuvent attirer facilement les victimes sur un faux site aux couleurs de cette marque. 15. Kaspersky Lab Cybermenaces financires en 2013 Attaques contre les banques en 2013 Systmes de paiement A l'instar des attaques contre les banques, la reconnaissance de la marque joue galement un rle important dans la diffusion des attaques organises en exploitant des systmes de paiement. Prs de 90 % des attaques de phishing impliquant ces derniers visaient une des cinq marques internationales suivantes : PayPal, American Express, MasterCard International, Visa ou Western Union. 16. Kaspersky Lab Cybermenaces financires en 2013 Attaques contre les systmes de paiement en 2013 17. Kaspersky Lab Cybermenaces financires en 2013 Paypal, qui demeure le systme de paiement prfr sur Internet, jouit d'une popularit stable auprs des individus malintentionns. Cette marque est intervenue dans 44,12 % des attaques. Exemple d'attaque de phishing qui imite le site de PayPal La part d'attaques dtournant American Express est considrable : 26,26 %. Les pages des systmes de paiement MasterCard International et Visa Inc. sont plus rarement falsifies par les individus malintentionns. Elles n'interviennent respectivement que dans 11,63 et 6,36 % des attaques. 18. Kaspersky Lab Cybermenaces financires en 2013 Exemple d'attaque de phishing qui imite le site du systme de paiement Visa Magasins en ligne Dans la catgorie Magasins en ligne , les leaders au niveau du nombre d'attaques sont depuis plusieurs annes dj les pages et les liens de phishing qui voquent le magasin en ligne Amazon.com (61,11 %). Exemple de fausse page du site d'Amazon visant des utilisateurs en Allemagne. Vu sa position dominante en tant que magasin en ligne proposant une trs large slection d'articles, Amazon est un nom connu de nombreux utilisateurs et c'est la raison pour laquelle les individus malintentionns qui crent de fausses pages aiment s'en inspirer. Les attaques qui exploitent la renomme d'Apple atteignent un niveau non ngligeable (12,89 %). En gnral, les individus malintentionns tentent d'imiter un magasin en ligne de produits Apple, ainsi que l'App Store et iTunes Store. 19. Kaspersky Lab Cybermenaces financires en 2013 Attaques contre les magasins en ligne en 2013 Parmi les cibles traditionnelles exploites dans les attaques, nous retrouvons galement le site de ventes aux enchres eBay (12 %). Le magasin en ligne chinois Alibaba (4,34 %) est utilis de plus en plus souvent dans des attaques. En 2013, il a t rejoint par Taobao (1,26 %), autre magasin en ligne chinois. Prs de 3 % de l'ensemble des attaques exploitant des magasins en ligne reposaient sur MercadoLibre.com, un site de ventes aux enchres d'Amrique latine. Ce diagramme illustre le caractre international du phishing financier. Comme on peut le voir, les victimes de ces attaques peuvent tre anglophones, mais elles peuvent galement tre de langue maternelle chinoise, espagnole, portugaise, etc. 20. Kaspersky Lab Cybermenaces financires en 2013 Analyse dtaille de la dynamique des attaques L'activit professionnelle et le marketing des entreprises dont le nom est utilis par des individus malintentionns dans les attaques de phishing exercent galement une influence sur le nombre d'attaques. Cette tendance est visible dans l'exemple du diagramme des attaques qui ont exploit le nom d'Apple et ses produits. Attaques exploitant la marque Apple au 2e semestre 2013 Presque tout au long de l'anne, la dynamique des dclenchements des technologies de protection de Kaspersky Lab contre les menaces qui exploitaient la marque de commerce Apple s'est caractrise par des pics et des creux allant de 1 000 2 500 dclenchements par jour. Toutefois, comme le montre le diagramme ci-dessus, l'historique des attaques prsentent deux pics remarquables qui correspondaient exactement l'annonce de la sortie de l'iPhone 5s et 5c (10 septembre 2013) et l'annonce de la sortie de l'iPad Air et de l'iPad Mini avec cran retina (22 octobre 2013). La logique dans ce cas est claire : les produits d'Apple sont toujours un sujet intressant pour les actualits et les forums sur Internet. C'est encore plus vrai la veille de l'annonce de nouveaux produits. L'utilisation de mots cls "trs recherchs" est une mthode traditionnelle utilise par les individus malintentionns pour attirer un public vers de faux sites et le diagramme montre que cette technique fonctionne vraiment. Apple n'est pas l'unique cible exploite par les auteurs d'attaques de phishing. Le nombre d'attaques impliquant son nom varie en fonction de l'activit marketing de la socit. Outre les catastrophes naturelles et les grands vnements internationaux dont la prsentation dans les mdias et les forums peuvent entraner ce qu'on appelle le courrier indsirable et le phishing thmatique, les campagnes marketing de grande ampleur d'une banque, d'un 21. Kaspersky Lab Cybermenaces financires en 2013 magasin en ligne ou de toute autre organisation financire ou commerciale peut tre source de phishing. La conclusion que doivent tirer les banques, les systmes de paiement et autres organisations financires qui organisent souvent des campagnes marketing sur Internet est simple : la campagne de publicit visant dcrocher de nouveaux clients doit s'accompagner d'une campagne d'informations des clients sur les cybermenaces potentielles. Phishing contre OS X : premiers signes d'une menace grandissante Le nombre d'attaques malveillantes contre les utilisateurs d'ordinateurs tournant sous OS X a toujours t plusieurs fois infrieur celui des attaques menes contre les utilisateurs Windows. La raison en est bien simple : bien qu'Apple assure une promotion muscle de ces ordinateurs de bureau et portables Mac dans le monde entier, le nombre d'utilisateurs de ces priphriques n'est en rien comparable avec celui des utilisateurs d'ordinateurs sous Windows. Motivs par l'appt du plus grand revenu, les criminels accordent plus d'attention aux utilisateurs de Windows. Mais ceci n'est vrai que dans le contexte des programmes malveillants. Un individu malintentionn ne doit rien faire de spcial pour lancer une attaque de phishing contre un utilisateur de Mac car, s'il est vrai que les systmes d'exploitation Windows et OS X possdent des diffrences marques qui empchent la cration d'un programme malveillant "universel" pour les deux plateformes, les utilisateurs de Windows et de Mac chargent les mmes pages sur Internet et les menaces de phishing diffuses par ingnierie sociale sont toutes aussi nombreuses pour les utilisateurs de Mac que pour les utilisateurs de PC. Les rsultats de l'tude de Kaspersky Lab ont confirm ce fait. Toutefois, il convient de formuler une remarque importante : pour des raisons techniques, Kaspersky Lab n'a t en mesure de rcolter des statistiques pertinentes chez les utilisateurs de Mac qu' partir de novembre 2013. Toute les informations en rapport avec Mac reprises dans cette tude ont t rcoltes entre novembre et dcembre 2013. Et bien que la priode couverte soit brve, les donnes obtenues permettent de se faire une ide de la situation sur le front des menaces contre les utilisateurs de la plateforme OS X et de mettre en vidence la diffrence par rapport la situation "gnrale". En 2013, 7,8 % des dclenchements des technologies de protection de Kaspersky Lab se sont produit sur des solutions de la socit pour la protection de Mac. Prs de la moiti des attaques ont touch des utilisateurs aux Etats-Unis (47,55 %). 11,53 % des attaques ont t enregistres en Allemagne et 5,47 %, en Grande-Bretagne. La Sude et l'Australie figurent galement dans la liste des pays les plus attaqus. 22. Kaspersky Lab Cybermenaces financires en 2013 Pays les plus souvent attaqus : utilisateurs de Mac Les diffrences dans les rpartitions des attaques par pays s'expliquent par la pntration plus importante des ordinateurs d'Apple dans ces pays en question. Les Etats-Unis et les pays d'Europe ont toujours t les principaux marchs pour les produits d'Apple. 23. Kaspersky Lab Cybermenaces financires en 2013 Au cours de la priode tudie, prs de 38,92 % de l'ensemble des dclenchements de l'anti-phishing Internet de Kaspersky Lab sur des Mac ont t provoqus par des pages de phishing "financier", soit prs de 7;5 % de plus que la part "financire" dans le volume global d'attaques. La majorit des incidents, soit 29,86 %, impliquait l'accs des utilisateurs de faux sites de banques tandis que les magasins en ligne et les sites de ventes aux enchres taient impliqus dans 6;6 % des dclenchements. Les systmes de paiement reprsentaient quant eux 2,46 %. Phishing financier : Mac Les chiffres montrent que les propritaires de Mac sont confronts aux attaques de phishing aussi souvent que les utilisateurs de Windows et ils courent mme plus de risque de devenir victime d'une attaque financire. 24. Kaspersky Lab Cybermenaces financires en 2013 C'est donc ainsi que les experts de Kaspersky Lab ont vu l'anne 2013 du point de vue du phishing financier. Et bien que le phishing soit une menace assez rpandue, il ne reprsente qu'une partie relativement modeste de l'cosystme global des cybermenaces financires lorsqu'on voque la cybercriminalit financire. Dans ce domaine, le rle principal revient aux programmes malveillants financiers capables d'obtenir, l'insu de l'utilisateur, les informations d'accs aux comptes en ligne des victimes et de voler l'argent. La deuxime partie du rapport de Kaspersky Lab leur est consacre. 25. Kaspersky Lab Cybermenaces financires en 2013 Cybermenaces financires en 2013. 2e partie : programmes malveillants 26. Kaspersky Lab Cybermenaces financires en 2013 Cybermenaces financires en 2013. 2e partie : programmes malveillants Principales conclusions .................................................................................................... 26 Programmes malveillants financiers ................................................................................. 26 Frontires des menaces : gographie des attaques et des utilisateurs attaqus........... 28 Connatre son ennemi : espces de programmes malveillants financiers ..................... 33 Attaques de programmes malveillants bancaires.......................................................... 35 Bitcoin : argent de Monopoly ?...................................................................................... 39 Menaces bancaires pour les appareils nomades.............................................................. 44 Conclusion : protgez votre porte-monnaie numrique .................................................... 50 Pour les entreprises...................................................................................................... 50 Pour les particuliers et les utilisateurs de services de transactions bancaires par Internet ..................................................................................................................................... 50 Pour les dtenteurs de cryptodevises ........................................................................... 51 27. Kaspersky Lab Cybermenaces financires en 2013 Principales conclusions D'aprs les donnes envoyes par les sous-systmes de protection des produits de Kaspersky Lab, le nombre d'attaques caractre financier, qu'il s'agisse de phishing ou d'attaques l'aide d'un programme malveillant, ont considrablement augment en 2013. Voici les chiffres obtenus pour la priode couverte par notre tude : Programmes malveillants pour PC Le nombre de cyberattaques impliquant des programmes malveillants conus pour voler des donnes financires a augment de 27,6 % en 2013 et a atteint le nombre de 28,4 millions. 3,8 millions d'individus ont t attaqus, soit une hausse de 18,6 % en un an. La part d'utilisateurs confronts des attaques financires impliquant un programme malveillant a reprsent en 2013 6,2 % de l'ensemble des utilisateurs attaqus. Par rapport 2012, cet indice a augment de 1,3 point de pour cent. Parmi les programmes malveillants caractre financier, ce sont surtout les outils en rapport avec les Bitcoins qui se sont le plus dvelopps. Toutefois, ce sont les programmes malveillants dvelopps pour voler de l'argent sur les comptes en banque, comme le programme ZeuS par exemple, qui jouent toujours le rle le plus important. Programmes malveillants pour appareils nomades Le nombre de programmes malveillants sous Android destins voler les donnes financires repris dans les collections de Kaspersky Lab a t multipli par 5 au cours du 2e semestre 2013. Il est en effet pass de 265 exemplaires en juin 1 321 en dcembre. En 2013, les experts de Kaspersky Lab ont dtect pour la premire fois des chevaux de Troie pour Android capables de voler de l'argent sur les comptes des utilisateurs attaqus. Programmes malveillants financiers Les programmes dvelopps pour le vol d'argent lectronique et d'informations financires figurent parmi les plus complexes. Ils permettent aux cybercriminels de convertir rapidement leurs efforts en argent et c'est la raison pour laquelle les individus malintentionns investissent tous leurs moyens et leurs efforts dans la cration de chevaux de Troie et de portes drobes orientation financire. D'aprs les observations des experts de Kaspersky Lab, les auteurs de programmes malveillants sont prts payer des dizaines de milliers de dollars pour obtenir les informations relatives aux nouvelles vulnrabilits dans le simple but de contourner les solutions de protection et de devancer les autres cybercriminels. 28. Kaspersky Lab Cybermenaces financires en 2013 En 2013, les solutions de Kaspersky Lab ont repouss 28,4 millions d'attaques organises l'aide de programmes malveillants financiers, soit une augmentation de 27,6 % par rapport l'anne antrieure. Le nombre d'utilisateurs victimes de ces attaques a galement augment de 18,6 % pour atteindre 3,8 millions de personnes. Cette tude tient compte des donnes relatives aux attaques organises l'aide de chevaux de Troie bancaires, d'enregistreurs de frappes, de programmes de vol de porte-monnaie lectroniques de Bitcoin et de tlchargement de programmes de minage de cette devise virtuelle. La part des programmes de vol et d'escroquerie dans l'ensemble des attaques est relativement faible. Ils n'ont t impliqus que dans 0,44 % des attaques en 2013, soit une progression de 0,12 point de pour cent par rapport l'anne antrieure. Au niveau des utilisateurs, la part des cybermenaces financires est plus importante : parmi les personnes exposes des attaques de programmes malveillants de tout type l'anne dernire, 6,2 % ont t confront une forme ou l'autre de programmes financiers dangereux. Par rapport 2012, cet indice a augment de 1,3 point de pour cent. Utilisateurs attaqus en 2013 En 2013, les programmes malveillants caractre financier ont touch 6,2 % de l'ensemble des victimes de programmes malveillants. Il existe un faible rapport entre le nombre d'attaques et la quantit d'utilisateurs attaqus. Au cours de la priode 2012-2013, le nombre mensuel d'attaques a chang d'une dizaine de pour cent. Au printemps 2012, ce nombre a enregistr une chute importante et n'a retrouv 29. Kaspersky Lab Cybermenaces financires en 2013 son niveau antrieur qu' l'automne 2012. Toutefois, le nombre d'utilisateurs attaqus n'a pas connu de variations aussi marques et il a affich chaque mois une dynamique positive. Programmes malveillants financiers : attaques et utilisateurs attaqus en 2012-2013 Le nombre d'utilisateurs attaqus par des programmes malveillants financiers a augment au cours de l'anne 2013. La rduction du nombre d'attaques au printemps 2012 peut s'expliquer par l'arrt de l'activit de quelques groupes de cybercriminels. De son ct, l'explosion des attaques au deuxime semestre 2013 peut s'expliquer par plusieurs facteurs : les individus malintentionns ont dcouvert de nouvelles vulnrabilits dangereuses dans l'application Oracle Java, ce qui a permis d'augmenter le nombre d'attaques. De mme, la hausse du cours du bitcoin vers la fin de l'anne a activ les programmes qui volent le contenu des porte-monnaie lectroniques de cette cryptodevise. Frontires des menaces : gographie des attaques et des utilisateurs attaqus Parmi les pays les plus exposs aux attaques de programmes malveillants financiers en 2012-2013, la Russie arrive en premire position avec 37 % des attaques. Aucun autre pays ne dpasse pas la barre des dix pour cent au cours de la priode tudie. 30. Kaspersky Lab Cybermenaces financires en 2013 Pays les plus souvent attaqus en 2012-2013 Le Top 10 des pays concentrent environ 70 % de l'ensemble des attaques financires sur deux ans. La Russie domine galement le classement de la croissance des attaques en un an. Toutefois, le nombre d'utilisateurs attaqus dans le pays au cours de l'anne 2013 a quelque peu diminu, alors qu'on observe une hausse dans la majorit des autres pays du Top 10. 31. Kaspersky Lab Cybermenaces financires en 2013 Gographie des attaques menes l'aide de programmes malveillants financiers Gographie des utilisateurs attaqus l'aide de programmes malveillants financiers Le nombre d'utilisateurs attaqus l'aide de programmes malveillants financiers au cours de l'anne a augment dans 8 pays du Top 10 des pays les plus souvent attaqus 32. Kaspersky Lab Cybermenaces financires en 2013 Les utilisateurs en Russie courraient le plus grand risque de devenir les victimes d'attaques financires. En 2013, chaque utilisateur cible des cybercriminels financiers aura t attaqu en moyenne 14,5 fois. Parmi les habitants des Etats-Unis, cet indice dpassait peine 8. Pays Nombre d'attaques organises l'aide de programmes malveillants financiers Dynamique sur un an Nombre d'attaques en moyenne par utilisateur Fdration de Russie 11 474 000+ 55,28 % 14,47 Turquie 899 000+ 156,41 % 9,22 tats-Unis 1 529 000+ -22,76 % 8,08 Viet Nam 1 473 000+ 65,08 % 6,43 Kazakhstan 517 000+ -26,88 % 6,15 Italie 593 000+ -32,05 % 5,61 Inde 1 600 000+ 65,03 % 4,47 Ukraine 401 000+ -7,54 % 4,07 Allemagne 747 000+ -0,73 % 3,9 Brsil 553 000+ -21,02 % 3,87 Moyenne des attaques subies par chaque habitant du pays devenu la cible de programmes malveillants financiers en 2013 Parmi les pays qui mnent le classement des cyberattaques sous la forme de menaces financires, on retrouvait surtout la Turquie et le Brsil. La part des utilisateurs exposs des attaques financires dans ces pays reprsentait respectivement 12 et 10,5 % du total des utilisateurs confronts des programmes malveillants en 2013. En Russie, cet indice a lgrement dpass les 6 %, tandis qu'aux Etats-Unis seule une personne attaque sur 30 tait confronte une forme ou l'autre de cybermenace financire. 33. Kaspersky Lab Cybermenaces financires en 2013 Pays Utilisateurs attaqus par des programmes malveillants financiers Dynamique sur un an % des utilisateurs attaqus par n'importe quel type de programme malveillant Turquie 97 000+ 37,05% 12,01% Brsil 143 000+ 29,28% 10,48% Kazakhstan 84 000+ 5,11% 8,46% Italie 105 000+ 20,49% 8,39% Viet Nam 229 000+ 31,77% 7,4% Inde 358 000+ 59,1% 6,79% Fdration de Russie 792 000+ -4,99% 6,16% Ukraine 98 000+ 22,73% 6,08% Allemagne 191 000+ 43,22% 5,52% tats-Unis 189 000+ 22,30% 3,1% Utilisateurs attaqus par des programmes malveillants financiers en 2013 et leur part parmi les habitants des pays confronts des programmes malveillants quelconque Si l'on place ces donnes sur une carte du monde, on voit que la part des attaques financire est relativement faible en Chine, aux Etats-Unis, au Canada et dans de nombreux pays europens. Les pays leaders selon cet indice sont rpartis travers le monde et on notera la prsence de la Mongolie, du Cameroun, de la Turquie et du Prou. 34. Kaspersky Lab Cybermenaces financires en 2013 Pourcentage des utilisateurs confronts des programmes malveillants financiers par rapport au total des utilisateurs attaqus par des programmes malveillants 2013 Connatre son ennemi : espces de programmes malveillants financiers Pour comprendre quels taient les programmes malveillants ciblant les actifs financiers des utilisateurs qui ont dfini le paysage des menaces l'anne dernire, les experts de Kaspersky Lab ont rparti les instruments des cybercriminels en diffrentes catgories. Dans le cadre de cette tude, plus de trente exemplaires de programmes malveillants parmi les plus connus utiliss dans le cadre d'attaques financires ont t slectionns. Cette slection a ensuite t scinde en quatre groupes sur la base des fonctions des programmes et de leur cibles : banker, enregistreurs de frappes, outils pour le vol du contenu de porte-monnaie de bitcoins et installateur de programmes de minage de bitcoins. Le groupe banker est le plus nombreux. Il reprend les chevaux de Troie et les portes drobes pour le vol d'argent depuis des comptes ou pour le vol des informations permettant de raliser ces vols. Parmi les programmes malveillants de ce groupe, il y a Zbot, Carberp et SpyEye. 35. Kaspersky Lab Cybermenaces financires en 2013 Attaques l'aide de programmes malveillants en 2013 Les reprsentants de la deuxime catgorie (enregistreurs de frappes) visent voler les informations confidentielles, notamment les informations caractre financier. Souvent, les chevaux de Troie bancaires offrent des fonctions similaires et la popularit des enregistreurs de frappe en tant qu'outil indpendant diminue. KeyLogger et Ardamax figurent parmi les programmes les plus populaires de cette catgorie. Les deux types restant de programmes malveillants sont en rapport avec la cryptodevise bitcoin, devenue ces derniers temps une proie de choix pour les escrocs financiers. Il peut s'agir de programmes qui volent le contenu des porte-monnaie de bitcoins ou de programmes qui installent des programmes de minage de bitcoins sur les ordinateurs infects l'insu de leur propritaire. Le premier type reprend les programmes malveillants qui volent le fichier porte-monnaie contenant les informations relatives aux bitcoins qui appartiennent l'utilisateur. Le deuxime type est un peu plus compliqu classer : l'installation de programmes de minage de bitcoins peut tre ralise par presque n'importe quel type de programme malveillant 36. Kaspersky Lab Cybermenaces financires en 2013 capable de tlcharger sur l'ordinateur de nouveaux programmes l'insu de l'utilisateur. C'est la raison pour laquelle cette tude s'est intresse uniquement aux exemplaires de programmes malveillants qui ont t remarqus plusieurs reprises dans le tlchargement et l'excution masque d'outils de minage de bitcoins. Il faut reconnatre que cette sparation n'est pas vraiment prcise. Par exemple, le mme enregistreur de frappe peut tre utilis pour obtenir des informations financires et pour voler les donnes d'accs des comptes de jeux en ligne. Mais en gnral, les programmes malveillants ont toujours une "spcialisation" qui dtermine la nature de l'infraction commise, ce qui permet de les associer un type en particulier de cybercrime, de nature financire dans ce cas ci. Attaques de programmes malveillants bancaires Parmi les menaces financires de 2013, les programmes de la catgorie banker ont jou un rle de premier plan. Il s'agit de ces programmes malveillants dvelopps pour voler l'argent sur les comptes des utilisateurs. Ils ont t impliqus dans 19 millions de cyberattaques en un an, ce qui reprsente deux tiers de l'ensemble des attaques financires organises l'aide de programmes malveillants. 37. Kaspersky Lab Cybermenaces financires en 2013 A la fin de l'anne 2013, la part globale des utilisateurs attaqus chaque mois par des programmes de vol de bitcoins et de tlchargement de programmes de minage de bitcoins a presque atteint celle des programmes malveillants de type banker. Le programme malveillant de type banker le plus actif tant au niveau du nombre d'attaques qu'au niveau du nombre d'utilisateurs attaqus aura t le cheval de Troie Zbot (Zeus). Le nombre d'attaques imputables ses modifications a plus que doubl en un an et le nombre d'utilisateurs qu'il a attaqu au cours de l'anne dernire a dpass les indices des autres programmes malveillants de type banker du Top 10 mis ensemble. Zbot, 2012-2013 En 2011, le code source de Zbot a t rendu public et il a t utilis, et l'est encore, pour crer de nouvelles versions du programme malveillant, ce qui exerce un impact sur les statistiques des attaques. C'est galement sur la base de Zbot que la plateforme Citadel a t dveloppe. Il s'agit d'une des tentatives d'adaptation des principes des applications commerciales au milieu de la cration de programmes malveillants. Les utilisateurs de Citadel pouvaient non seulement acheter le cheval de Troie, mais galement l'assistance technique et les mises jour qui permettaient de dissimuler le programme aux yeux des solutions antivirus. Les ressources Internet de Citadel abritaient galement les changes entre les pirates qui pouvaient donner des indices sur l'introduction de nouvelles fonctions. Au dbut du mois de juin 2013, la socit Microsoft a annonc avec le FBI que plusieurs rseaux de zombies importants de Citadel avaient t mis hors service, ce qui fut une 38. Kaspersky Lab Cybermenaces financires en 2013 victoire importante dans la lutte contre la cybercriminalit. Toutefois, les statistiques de Kaspersky Lab montrent que cet vnement n'a pas vraiment eu d'impact sur la diffusion des programmes malveillants dvelopps pour voler des donnes financires. La chute marque dans le niveau d'attaques du cheval de Troie Qhost peut s'expliquer par l'arrestation de ses auteurs. Ils avaient vol prs de 400 000 dollars sur les comptes de clients d'une grande banque russe en 2011. Les auteurs du programme malveillant furent jugs en 2012, mais cela n'a pas gn la poursuite de la diffusion de la menace. La simplicit relative de la configuration et de l'utilisation de ce programme malveillant attire de nouveaux individus malintentionns. Qhost, 2012-2013 La part d'attaques imputables au cheval de Troie Carberp a chut au cours du premier semestre de l'anne 2013 suite l'arrestation au printemps des utilisateurs du cheval de Troie parmi lesquels se trouvaient galement les crateurs prsums. Toutefois, Carberp a repris sa croissance en t, ce qui a permis ce programme malveillant de terminer l'anne 2013 au mme niveau que l'anne 2012. Ceci s'explique par la publication du code source du programme malveillant dans le domaine public qui a entran la cration de nouvelles versions du cheval de Troie. Ceci tant dit, le nombre d'utilisateurs attaqus par des modifications de ce programme malveillant a chut au cours de l'anne. 39. Kaspersky Lab Cybermenaces financires en 2013 Carberp, 2012-2013 La tendance globale est vidente : aprs l'accalmie relative du deuxime semestre 2012, les escrocs l'origine d'attaques impliquant des programmes malveillants financiers, se sont activs en 2013. Il suffit de voir l'augmentation du nombre d'attaques et d'utilisateurs attaqus. 40. Kaspersky Lab Cybermenaces financires en 2013 Nombre d'attaques impliquant des programmes malveillants de type bancaire, 2012-2013 * Trojan-Banker est un enregistrement universel dans les bases de donnes de Kaspersky Lab qui utilise des rgles heuristiques pour dtecter les programmes malveillants financiers Bitcoin : argent de Monopoly ? Le bitcoin est une cryptodevise qui n'est rglemente par aucun Etat et qui repose uniquement sur les personnes qui l'utilisent. Le lancement du rseau distribu qui permet le fonctionnement de Bitcoin remonte 2009. Au dbut, cette devise tait utilise par des personnes proches du secteur des technologies de l'information, mais peu a peu sa popularit s'est agrandie. La popularisation de la devise a permis de l'utiliser comme mode de paiement sur certains sites importants spcialiss dans la vente d'articles illgaux. Ses sites taient attirs par l'anonymat offert par les bitcoins. Version d'une prsentation d'un porte-monnaie de bitcoins sur papier 41. Kaspersky Lab Cybermenaces financires en 2013 En thorie, toute personne qui le souhaite peut obtenir des bitcoins en utilisant la puissance de calcul de son ordinateur : c'est ce qu'on appelle le minage. Ce minage consiste rsoudre une srie de tches cryptographiques qui garantit le fonctionnement du rseau Bitcoin. Bon nombre des "fortunes" en bitcoins ont t amasses alors que la devise en tait ses dbuts, quand elle n'tait pas encore accepte comme mode de paiement en liquide. Toutefois, au fur et mesure que la cryptodevise a gagn en popularit, il est devenu de plus en plus difficile d'obtenir des bitcoins grce la puissance de l'ordinateur. Il s'agit l d'une des particularits du systme au mme titre que le volume fini des moyens financiers mis en circulation. A l'heure actuelle, la complexit des calculs est telle que le minage de bitcoins sur les ordinateurs traditionnels n'est plus rentables : le revenu potentiel couvre peine les frais d'lectricit. Au dbut de l'anne 2013, le cours du bitcoin tait fix 13,6 dollars et au mois de dcembre, il atteignait son niveau historique plus de 1 200 dollars Tout au long de l'anne, le cours du bitcoin a connu une folle croissance et a dpass 1 200 dollars la fin du mois de dcembre. Le cours a ensuite commenc chuter, notamment en raison de la mfiance des banques centrales de plusieurs pays par rapport cette devise. Ainsi, l'interdiction impose par la Banque populaire de Chine sur les bourses de bitcoins a fait perdre cette devise prs d'un tiers de sa valeur. Paralllement cela, d'autres pays ont une attitude positive par rapport aux bitcoins. Ainsi, le ministre des Finances d'Allemagne a reconnu officiellement la cryptodevise comme mode de paiement tandis qu'il existe au Canada et aux Etats-Unis des distributeurs automatiques de billets qui permettent d'changer des bitcoins. 42. Kaspersky Lab Cybermenaces financires en 2013 Bref, de phnomne "local" soutenu par quelques enthousiastes, le bitcoin est devenu en quelques annes si pas une unit montaire part entire, du moins un bien virtuel qui a une valeur relle et qui a connu une hausse marque. Il va de soi que les individus malintentionns ne pouvaient pas ne pas prter attention ce phnomne. A partir du moment o le bitcoin a commenc tre chang sur des bourses Internet pour de l'argent rel et que de plus en plus de vendeurs ont commenc accepter cette devise comme mode de paiement, les cybercriminels s'y sont de plus en plus intresss. Les bitcoins sont conservs sur l'ordinateur dans un fichier porte-monnaie spcial (wallet.dat ou autre en fonction de l'application utilise). Si ce fichier n'est pas crypt et qu'un individu malintentionn parvient le voler, rien ne l'empche de transfrer le contenu du compte vers son propre porte-monnaie. Le rseau Bitcoin permet n'importe lequel de ses participants de consulter l'historique des oprations ralises par n'importe quel utilisateur. Autrement dit, il est possible d'identifier le porte-monnaie lectronique dans lequel l'argent vol a t vers. Mais vu que le Bitcoin n'est rglement par personne, il est inutile de penser dposer une plainte pour vol. Outre le vol de Bitcoins, les cybercriminels peuvent utiliser les ordinateurs de leurs victimes pour le minage, l'instar de ce qui se passe dans le cadre des diffusions de courrier indsirable ou d'autres activits malveillantes. Il existe galement des programmes de chantage qui exigent un paiement en bitcoins pour dcrypter les donnes de la victime. Le diagramme suivant illustre la dynamique des attaques impliquant des outils malveillants de vol de porte-monnaie de bitcoins ou des programmes malveillants plusieurs fonctions spcialiss dans l'installation d'outils de minage. Il y a galement dj eu des cas de dtection sur un ordinateur d'applications de minage de bitcoins : elles peuvent tre installes par l'utilisateur ou l'insu de ce dernier. Les solutions de Kaspersky Lab placent les applications de minage dans la catgorie RiskTool. Cela signifie que l'application en question contient une fonction qui prsente un danger potentiel et l'utilisateur est prvenu. 43. Kaspersky Lab Cybermenaces financires en 2013 Comme on peut le voir sur le graphique, le nombre de dclenchements des produits de Kaspersky Lab provoqus par des programmes de vol de bitcoins et des applications de minage de bitcoins a commenc augmenter au deuxime semestre 2012. La dynamique est devenue encore plus intressante en 2013. Par exemple, un des pics de dclenchements des produits de Kaspersky Lab provoqu par des programmes malveillants lis aux bitcoins a t enregistr au mois d'avril. A cette poque, le cours du Bitcoin tait suprieur 230 dollars. Il est vident que la hausse du cours aurait pu inciter les individus malintentionns s'activer dans la diffusion de programmes malveillants conus pour le vol et le minage de bitcoins. Mais en avril, le cours de la devise s'est effondr jusqu' 83 dollars. Il s'est ensuite repris pour atteindre 149 dollars la fin du mois d'avril et il s'est stabilis en mai. De mai aot, le cours du Bitcoin s'est maintenu dans la fourchette des 90 100 dollars et en aot, il est reparti la hausse. L'activit des programmes malveillants a suivi de loin cette volution, mais il n'est pas exclu que ce soit prcisment la stabilisation du cours du bitcoin qui a entran un nouveau pic d'attaques en aot. Une autre hausse marque du nombre d'attaques aura t enregistre en dcembre. Au cours de ce mois, le cours du Bitcoin s'est d'abord effondr, passant de 1 000 584 dollars, puis il a connu une hausse sensible pour atteindre 804 dollars la fin du mois. 44. Kaspersky Lab Cybermenaces financires en 2013 Le nombre de dclenchements des produits de Kaspersky Lab provoqus par des applications de minage de Bitcoin a galement connu une augmentation stable depuis avril. Cette hausse s'est maintenue jusqu'au mois d'octobre et partir de novembre, ce nombre de dclenchements a chut. Sur l'ensemble de l'anne 2013, le nombre de dclenchements des produits de Kaspersky Lab et le nombre d'utilisateurs confronts des programmes malveillants ou des programmes malveillants potentiels lis aux bitcoins a augment plusieurs fois par rapport 2012. Il est intressant de constater qu' partir d'octobre 2013, le nombre de dclenchements provoqus par des programmes malveillants qui installent des applications de minage de bitcoins a commenc chuter tandis que le nombre de dclenchements provoqus par des programmes qui volaient les porte-monnaie a quant lui augment. Ceci est peut-tre du une des caractristiques de la devise cites ci-dessus : plus le nombre de "pices" cres dans le systme augmente, plus il devient difficile d'en crer. Cela a peut- tre pouss les individus malintentionns concentrer leurs recherches sur le vol de porte- monnaie contenant dj des bitcoins. 45. Kaspersky Lab Cybermenaces financires en 2013 Les programmes malveillants dvelopps pour voler des informations financires figurent parmi les programmes malveillants les plus terribles. L'ampleur du danger augmente, notamment, cause du volume imposant de victimes potentielles d'attaques organises l'aide de tels programmes : en ralit, presque tout dtenteur d'une carte de crdit qui accde Internet depuis un ordinateur la protection mdiocre peut devenir la victime des individus malintentionns. Toutefois, les ordinateurs de bureau et les ordinateurs portables ne sont pas les seuls priphriques utiliss dans le cadre de la ralisation de transactions financires. Presque tout le monde possde un smartphone ou une tablette. Et pour les individus malintentionns, ces priphriques constituent une voie d'accs supplmentaire aux services financiers des utilisateurs. Menaces bancaires pour les appareils nomades Les appareils nomades sont rsts pendant longtemps un territoire inexplor par les cybercriminels. Cela s'expliquait avant tout par le nombre rduit de fonctions des appareils nomades de premire gnration et par la complexit de la cration d'applications pour ceux-ci. Mais l'mergence des smartphones et des tablettes, riches en fonction, dots d'une connexion Internet et pour lesquels des applications peuvent tre mises au point l'aide d'outils de dveloppement accessibles au public, a compltement chang la situation. Cela fait quelques annes que les experts de Kaspersky Lab enregistrent chaque anne une augmentation du nombre de programmes malveillants visant les appareils nomades. Et principalement les appareils tournant sous Android. En 2013, Android est devenu la cible principale des attaques malveillantes. 98,1 % de l'ensemble des programmes malveillants pour appareils nomades dtects en 2013 taient destins cette plateforme, ce qui tmoigne la fois de la popularit de ce systme d'exploitation et de la vulnrabilit de son architecture. 46. Kaspersky Lab Cybermenaces financires en 2013 Programmes malveillants pour appareils nomades en 2013 Et la majorit des programmes malveillants pour appareils nomades vise voler l'argent des utilisateurs. C'est le cas des chevaux de Troie SMS, de nombreuses portes drobes et d'une partie des programmes malveillants de la catgorie Cheval de Troie. Une des tendances les plus dangereuses observes en 2013 dans le domaine des programmes malveillants pour appareils nomades fut l'augmentation du nombre de programmes dvelopps pour voler les informations d'authentification des systmes de transactions bancaires en ligne et pour voler l'argent. 47. Kaspersky Lab Cybermenaces financires en 2013 Nombre d'chantillons de programmes malveillants bancaires pour appareils nomades dans la collection de Kaspersky Lab en 2013 Le nombre de ces programmes malveillants a connu une croissance active partir de juin et en dcembre, on comptait plus de 1 300 exemplaires uniques. Au cours de la mme priode, le nombre d'attaques bloques par les produits de Kaspersky Lab a commenc augmenter galement. 48. Kaspersky Lab Cybermenaces financires en 2013 Attaques organises l'aide de programmes malveillants bancaires pour appareils nomades au 2e semestre 2013 Les programmes malveillants pour appareils nomades qui visent les utilisateurs de systme de transactions bancaires par Internet ne sont pas une nouveaut. Par exemple, ZitMo (le "frre" nomade du clbre cheval de Troie bancaire Win 32 ZeuS) est connu depuis 2010, mais il n'tait pas impliqu dans des attaques massives, notamment cause de sa fonction spcifique : ZitMo pouvait fonctionner uniquement avec la version pour ordinateurs de bureau ZeuS. Le compre volait le nom d'utilisateur et le mot de passe d'accs au compte en ligne de la victime tandis que ZitMo interceptait les mots de passe usage unique de confirmation des transactions dans le systme de transactions bancaires par Internet et les transmettait aux individus malintentionns qui utilisaient les donnes obtenues pour voler l'argent. Ce type d'escroquerie a t observ en 2013. A ce moment, les "petits frres" pour les appareils mobiles taient devenus de vritables concurrents pour ZeuS : SpyEye (SpitMo) et Carberp (CitMo). Toutefois, ils n'ont pas t impliqus dans un nombre d'attaques significatif. Cela s'explique peut-tre par l'existence sur le march noir des cybermenaces de chevaux de Troie plus autonomes capables de fonctionner sans le partenaire pour ordinateurs de bureau. Svpeng est un exemple de ce genre de programme malveillant. Il a t dcouvert par les experts de Kaspersky Lab en juillet 2013. Ce cheval de Troie exploite les particularit de certains systmes russes de transactions bancaires par appareil nomade qui lui permettent de voler l'argent sur le compte des victimes. 49. Kaspersky Lab Cybermenaces financires en 2013 En Russie, certaines grandes banques permettent leurs clients d'alimenter leur compte de tlphonie mobile via transfert depuis leur carte bancaire. Pour ce faire, le client doit simplement envoyer depuis son smartphone un SMS contenant un texte spcial un numro ddi de la banque. Svpeng envoie des SMS aux services SMS de deux de ces banques. Le propritaire de Svpeng peut ainsi voir si des cartes de ces banques sont associes au numro du smartphone infect et si c'est le cas, il pourra obtenir le solde du compte. Ensuite, l'individu malintentionn peut envoyer Svpeng une commande de virement depuis le compte en banque vers le compte de tlphonie mobile de la victime. Interface de fausse autorisation de Svpeng Ensuite, il existe diffrentes mthodes pour transfrer l'argent depuis le compte de tlphonie mobile comme le transfert vers un porte-monnaie lectronique via l'espace personnel dans le systme de l'oprateur de tlphonie mobile ou plus simplement en envoyant des messages un numro surtax. Svpeng possde galement des fonctions de vol des informations d'authentification sur des systmes de transactions bancaires par Internet. Voici deux autres exemples de chevaux de Troie de type banker dangereux dtects par les experts de Kaspersky Lab : Perkele et Wroba. Le premier ressemble ZitMo. Sa principale fonction consiste intercepter les mots de passe uniques de confirmation des transactions. Le deuxime, quant lui, recherche sur l'appareil mobile les applications pour raliser des transactions bancaires en ligne, les supprime et tlcharge de fausses copies qui rcoltent les informations d'identification et les envoient aux individus malintentionns. La majorit des attaques ralises l'aide de chevaux de Troie de type banker en 2013 ont t enregistres en Russie et dans les pays voisins par Kaspersky Lab. Toutefois, par exemple, Perkele a attaqu des clients non seulement de banques russes, mais galement de banques europennes tandis que Wroba visait des utilisateurs en Core du Sud. 50. Kaspersky Lab Cybermenaces financires en 2013 Rpartition gographique des attaques menes l'aide de programmes malveillants bancaires pour Android en 2013 En chiffres absolus, l'ampleur des attaques menes l'aide de programmes malveillants financiers contre les utilisateurs d'appareils mobiles et dceles par les solutions de Kaspersky Lab est relativement faible pour l'instant, mais cela fait plus de 18 mois que l'on observe une tendance vidente la hausse. Cela signifie que les utilisateurs d'appareils mobiles, principalement sous Android, doivent prter trs attention la scurit de leurs donnes financires. Les utilisateurs d'appareils tournant sous iOS doivent galement rester vigilants. Bien qu'il n'existe pas encore de raz-de-mare de programmes destins voler les donnes confidentielles d'utilisateurs d'iPhone et d'iPad, des erreurs permettant de crer de tels programmes sont frquemment dtectes dans le systme d'exploitation de ces priphriques. Un des exemples les plus rcents ,remonte la fin du mois de fvrier 2014 lorsque des chercheurs ont identifi une faille qui permettait d'identifier les caractres saisis par l'utilisateur l'aide du clavier virtuel du priphrique. Grce cette vulnrabilit, un individu malintentionn pourrait voler, entre autres, le nom d'utilisateur et le mot de passe d'accs au systme de transactions bancaires par Internet. 51. Kaspersky Lab Cybermenaces financires en 2013 Conclusion : protgez votre porte-monnaie numrique L'tude a clairement dmontr que l'argent lectronique des utilisateurs est expos constamment des menaces. Que l'utilisateur gre son compte en banque en ligne ou qu'il ralise des achats dans des magasins en ligne, les individus malintentionns le suivent partout. Tous les types de menaces financires ont affich une hausse sensible en 2013. La part des attaques de phishing impliquant des noms de banques a doubl tandis que le nombre d'attaques financires organises l'aide de programmes malveillants a augment d'un tiers. Le secteur des programmes malveillants financier n'a pas t marqu par l'apparition de "nouveauts" qui pourraient concurrencer Zbot et Qhost. Ces chevaux de Troie et d'autres biens connus ont t responsables de la majorit des attaques l'anne dernire. Toutefois, les individus malintentionns ont une fois de plus dmontr la rapidit laquelle ils ragissent au changement de conjoncture. La hausse acclre du nombre d'attaques de vol de bitcoins qui avait dbut la fin de l'anne 2012 s'est poursuivie en 2013. Les experts de Kaspersky Lab ont formul les recommandations suivantes pour renforcer la protection contre les menaces financires. Pour les entreprises C'est aux entreprises qu'il incombe avant tout de garantir la scurit des utilisateurs. Les socits financires doivent prsenter leurs clients les menaces poses par les cyberescrocs et fournir des conseils sur la manire d'viter des pertes. Les banques et les systmes de paiement doivent offrir leurs clients des systmes de protection avancs contre les individus malintentionns. La plateforme Kaspersky Fraud Prevention est un exemple de solution qui offre une protection plusieurs niveaux contre les escrocs. Pour les particuliers et les utilisateurs de services de transactions bancaires par Internet Les auteurs de programmes malveillants comptent souvent sur les vulnrabilits dans les applications les plus utilises. C'est pourquoi il convient d'utiliser uniquement les versions les plus rcentes des applications et d'installer les mises jour des systmes d'exploitation ds qu'elles sont disponibles. Les rgles universelles pour une utilisation sr d'Internet contribuent galement la rduction du risque pos par les attaques financires. Les utilisateurs doivent choisir des mots de passe complexes, uniques pour chaque service. Ils doivent faire preuve de prudence au moment d'utiliser des rseaux Wi-Fi publics et viter d'enregistrer des informations confidentielles dans le navigateur, etc. Il est indispensable d'utiliser des logiciels fiables de protection contre les programmes malveillants dont l'efficacit a t confirme par des tests indpendants. De plus, certaines solutions de protection comme Kaspersky Internet Security intgrent des 52. Kaspersky Lab Cybermenaces financires en 2013 outils qui permettent d'utiliser les services de transactions bancaires par Internet en toute scurit. Si vous accdez votre service de transactions bancaires par Internet ou un systme de paiement depuis votre smartphone ou votre tablette ou si vous utilisez ces priphriques pour raliser des achats en ligne, pensez adopter une solution de protection fiable telle que Kaspersky Internet Security for Android qui offre des outils avancs de protection contre les programmes malveillants et le phishing et possde des fonctions utiles en cas de perte ou de vol de votre appareil. Pour les dtenteurs de cryptodevises Dans la mesure o la devise bitcoin et autres phnomnes semblables comme Litecoin, Dogecoin et beaucoup d'autres sont encore jeunes, bon nombre d'utilisateurs ignorent les finesses de l'utilisation de ces systmes et pour cette raison, les experts de Kaspersky Lab ont rdig des conseils sur l'utilisation en toute scurit des cryptodevises. Evitez de conserver vos conomies dans des services en ligne et prfrez l'utilisation d'application spciales qui remplissent le rle de porte-monnaie. Rpartissez vos conomies entre plusieurs porte-monnaie. Cela rduira le risque de toute perdre en cas d'attaque contre un de ces porte-monnaie. Placez les porte-monnaie pour le stockage long terme des cryptodevises sur des supports chiffrs. En guise d'alternative, sachez qu'il existe des porte-monnaie imprims sur papier.