A propos de Symantec Leader mondial dans le domaine des
Transcription
A propos de Symantec Leader mondial dans le domaine des
A propos de Symantec Leader mondial dans le domaine des solutions de gestion de la sécurité, du stockage et des systèmes, Symantec aide les particuliers et les entreprises à protéger et gérer leur environnement informatique. Nos logiciels et services permettent d'assurer une protection plus complète en différents points et d'instaurer ainsi la confiance, quel que soit l'endroit où les informations sont utilisées ou stockées. Basée à Mountain View en Californie, Symantec est présente dans 40 pays. Pour plus d'informations, rendez-vous sur www.symantec.com. Pour connaître les coordonnées Symantec France de nos bureaux dans un pays Tour Egée, spécifique, consultez notre 17 avenue de l'Arche, La site Web. Pour obtenir des Défense 6, 92671 Courbevoie renseignements sur les Cedex, France Téléphone produits aux Etats-Unis, 01 41 45 02 02 appelez le 1 (800) 745 6054 www.symantec.fr Copyright © 2011 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec et le logo en forme de coche sont des marques commerciales ou des marques déposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs. 05/11 XXXXXXXX I nte r net S ecu r it y T h r eat Rep o r t Internet Security Threat Report, Volume 16 Rapport personnalisé Avril 2011 Avril 2011 Internet Security Threat Report, Volume 16 - Rapport personnalisé Sommaire Présentation EMEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Tendances des menaces dans la zone EMEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Origine des attaques visant la zone EMEA par pays . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Attaques Web dans la zone EMEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Attaques Web dans la zone EMEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Tendances dans l'activité des codes malveillants dans la zone EMEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Fréquence des composantes de codes malveillants dans la zone EMEA | Symantec . . . . . . . . . . . . . . . . . . 11 Tendances dans l'activité des codes malveillants dans la zone EMEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Principales nouvelles familles de codes malveillants dans la zone EMEA . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Principales nouvelles familles de codes malveillants dans la zone EMEA . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Mécanismes de propagation dans la zone EMEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Mécanismes de propagation dans la zone EMEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Sites de phishing dans la zone EMEA par pays et par principaux secteurs ciblés . . . . . . . . . . . . . . . . . . . . . 20 Pays d'origine du spam par réseau de bots dans la zone EMEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Internet Security Threat Report, Volume 16 - Rapport personnalisé Présentation EMEA Avec le réseau Symantec™ Global Intelligence Network, Symantec dispose de l'une des sources d'informations les plus complètes sur les menaces Internet dans le monde. Ce réseau collecte à travers le monde des informations sur la sécurité qui constituent pour les analystes de Symantec des sources de données d'une valeur inestimable. Celles-ci leur permettent d'identifier et d'analyser les dernières tendances en matière d'attaques, de code malveillant, de phishing et de spam, ainsi que d'apporter des solutions de protection et des commentaires éclairés. Plus de 240 000 capteurs dans plus de 200 pays et territoires surveillent les attaques grâce à une combinaison de produits et de services Symantec, tels que Symantec DeepSight™ Threat Management System, Symantec™ Managed Security Services et les produits grand public Norton™, ainsi que des sources de données tierces supplémentaires. Symantec recueille les données sur le code malveillant en provenance de plus de 133 millions de systèmes clients, serveurs et passerelles dotés de ses solutions antivirus. De plus, le système de leurres de Symantec collecte des données dans le monde entier, capture des menaces et des attaques passées inaperçues et fournit de précieuses informations sur les méthodes des attaquants. Par ailleurs, Symantec possède l'une des bases de données de vulnérabilités les plus complètes au monde, avec plus de 40 000 vulnérabilités répertoriées (depuis plus de 20 ans) concernant plus de 105 000 technologies développées par plus de 14 000 fournisseurs. Symantec capitalise également sur le forum BugTraq™, l'une des communautés d'échange les plus populaires sur les vulnérabilités Internet, à laquelle participent activement plus de 24 000 contributeurs. Les données de spam et de phishing proviennent d'une grande variété de sources, notamment : le système Symantec Probe Network avec plus de 5 millions de comptes leurres, les rapports MessageLabs Intelligence qui fournissent des données et des analyses sur les problèmes, tendances et statistiques en matière de sécurité du courrier électronique, ainsi que d'autres technologies Symantec. Les données sont collectées dans plus de 86 pays à travers le monde. Plus de 8 milliards de messages électroniques et plus de 1 milliard de requêtes Web sont traités chaque jour dans 16 datacenters. Symantec recueille également des informations sur le phishing par le biais d'une large communauté antifraude regroupant des entreprises, des éditeurs de solutions de sécurité et plus de 50 millions de consommateurs. Ces ressources procurent aux analystes de Symantec des sources de données inégalées qui leur permettent d'identifier et d'analyser les dernières tendances en matière d'attaque Internet, de diffusion de codes malveillants, de phishing et de spam, et d'apporter à leur sujet des commentaires éclairés. Les résultats sont compilés dans le rapport Symantec Internet Security Threat Report qui procure aux entreprises et aux particuliers les informations dont ils ont besoin pour sécuriser efficacement leurs systèmes aussi bien maintenant que dans le futur. Symantec collecte non seulement des données sur les attaques Internet au niveau mondial, mais également sur les attaques détectées par les capteurs déployés dans des zones géographiques spécifiques. Ce rapport aborde les principaux aspects des activités malveillantes observées par Symantec en Europe, au Moyen-Orient et en Afrique (EMEA) pour l'année 2010. 4 Internet Security Threat Report, Volume 16 - Rapport personnalisé Tendances des menaces dans la zone EMEA La section suivante du Symantec Internet Security Threat Report pour l'Europe, le Moyen-Orient et l'Afrique (EMEA) présente une analyse de l'activité des menaces, des codes malveillants et des fuites de données dans la zone EMEA en 2010. L'activité malveillante commentée dans cette section englobe non seulement les menaces, mais également le phishing, les codes malveillants, les zombies de spam, les ordinateurs infectés par des bots et les sources d'attaques réseau. Une attaque se définit comme toute activité malveillante visant un réseau qui a été repérée par un système de détection d'intrusion (IDS) ou un pare-feu. Les autres types d'activité malveillante figurant dans ce rapport sont décrits dans leurs sections respectives. Cette section analyse et commente les tendances selon les catégories suivantes : • Activité malveillante par pays •Origine des attaques par pays • Attaques sur le Web • Ordinateurs infectés par des bots par pays Activité malveillante par pays dans la zone EMEA Contexte Cette section analyse l'activité malveillante qui se manifeste ou trouve son origine dans les pays d'Europe, du Moyen-Orient et d'Afrique (EMEA). L'activité malveillante affecte généralement les ordinateurs disposant d'une connexion Internet haut débit car ce type de connexion est très intéressant pour les pirates. Les connexions haut débit offrent, en effet, des capacités de bande passante plus performantes que les autres types de connexion, une vitesse plus élevée, un potentiel de connexion permanente et davantage de stabilité. Symantec classe les activités malveillantes de la façon suivante : Code malveillant : Il s'agit des virus, des vers et des chevaux de Troie qui sont clandestinement insérés dans les programmes. Le but des codes malveillants est de détruire les données, d'exécuter des programmes destructifs ou intrusifs, de dérober des informations sensibles ou de porter atteinte à la sécurité ou à l'intégrité des données des ordinateurs victimes. Zombies de spam : Il s'agit des systèmes contaminés qui sont contrôlés à distance et utilisés pour envoyer de gros volumes de messages indésirables ou non sollicités. Ces messages peuvent être utilisés pour transmettre des codes malveillants et exécuter des tentatives de phishing. Hôtes de phishing : Un hôte de phishing est un ordinateur qui offre des services de site Web dont le but est de collecter de manière illégale des informations sensibles, personnelles et financières tout en prétendant que la demande émane d'un organisme fiable et bien connu. Ces sites Web se font passer pour des sites de transactions honnêtes. Ordinateurs infectés par des bots : Il s'agit des ordinateurs contaminés qui sont contrôlés à distance par des pirates. Généralement, le pirate commande à distance un grand nombre d'ordinateurs infectés, via un canal unique et fiable au sein d'un réseau de bots (botnet) qui est ensuite utilisé pour lancer des attaques coordonnées. Origines des attaques réseau : Il s'agit des attaques qui ont leur source sur Internet. Par exemple, les attaques peuvent viser les protocoles SQL ou les vulnérabilités de type débordement de tampon. Origines des attaques réseau : Il s'agit des attaques qui ont leur source sur Internet. Par exemple, les attaques peuvent viser les protocoles SQL ou les vulnérabilités de type débordement de tampon. 5 Internet Security Threat Report, Volume 16 - Rapport personnalisé Méthodologie Pour déterminer l'activité malveillante par pays, Symantec a compilé des données géographiques sur de nombreuses activités malveillantes, notamment les codes malveillants, les zombies de spam, les hôtes de phishing, les ordinateurs infectés par des bots et les origines des attaques réseau. Le pourcentage de chaque activité en provenance de chacun des pays est alors évalué pour la zone géographique. La moyenne des pourcentages de chaque activité malveillante émanant de chaque pays est ensuite calculée. Cette moyenne détermine le pourcentage d'activité malveillante globale émanant du pays en question. Les classements sont déterminés en calculant le pourcentage moyen de ces activités malveillantes en provenance de chaque pays. Classement général Source Pourcentage total Classement des activités 2010 2010 2009 2010 2009 Code malveillant Bots Origine des attaques réseau 1 1 Royaume-Uni 18 % 16 % 1 4 2 3 2 2 2 Allemagne 14% 12 % 5 1 1 1 1 3 6 Italie 8 % 6 % 7 5 7 2 4 4 3 Russie 7 % 7 % 4 3 5 11 5 5 7 France 6 % 5 % 9 9 4 7 3 6 4 Espagne 5 % 7 % 6 6 8 5 6 7 10 Pays-Bas 5 % 2 % 14 2 3 12 10 8 5 Pologne 4 % 6 % 10 8 6 4 8 9 8 Turquie 3 % 5 % 2 21 10 9 7 10 12 Arabie saoudite 2 % 2 % 3 12 46 37 18 Zombies de spam Hôtes de phishing Activité malveillante par pays, zone EMEA Source : Symantec Corporation Commentaires Le Royaume-Uni et l'Allemagne ont les plus hauts pourcentages d'activité malveillante dans la zone EMEA : En 2010, ces deux pays ont été une fois encore les principales sources d'activité malveillante dans la zone EMEA. Au niveau mondial, le Royaume-Uni a été classé cinquième et l'Allemagne troisième pour l'ensemble de l'activité malveillante. Cela indique que les pirates au Royaume-Uni étaient davantage axés sur la région alors qu'en Allemagne ils ciblaient plus volontiers les systèmes au niveau mondial. • Le classement du Royaume-Uni en haut du tableau est dû au volume élevé de codes malveillants. • Celui de l'Allemagne est dû à sa première place pour ce qui concerne les zombies de spam, les hôtes de phishing, les bots et l'origine des attaques réseau. L'Allemagne possède une infrastructure de bande passante qui en fait le pays ayant le plus grand nombre de connexions haut débit dans la zone EMEA. Avec quasiment 27 millions de connexions haut débit, même si une faible proportion de ces systèmes sont non corrigés, ces ordinateurs représentent quand même un grand nombre de cibles intéressantes pour les pirates, ce qui se traduit par un fort pourcentage d'activité malveillante dans le pays. Plus de la moitié des zombies de spam dans le monde sont situés dans la zone EMEA : Cette zone a toujours le plus fort pourcentage de zombies de spam, soit 54 % du total mondial pour 2010. L'Allemagne, les Pays-Bas et la Russie enregistrent les plus forts pourcentages de zombies de spam dans la zone EMEA et représentent à eux trois plus d'un tiers du total de la région. L'une des raisons de ce pourcentage élevé est que les ordinateurs de la zone EMEA sont des sources d'infection majeures par les réseaux de bots tels que Ozdok (Mega-D), Cimbot, Bobax et Xarvester. • Informations sur les sources d'infection par les réseaux de spam. La Turquie et l'Arabie saoudite continuent à faire état de hauts niveaux de code malveillant en 2010 : Bien que classées respectivement au neuvième et au dixième rang pour l'activité malveillante globale dans la zone EMEA en 2010, la Turquie et l'Arabie saoudite occupent le deuxième et le troisième rang dans la catégorie des codes malveillants dans la zone. Ce rang est dû aux volumes élevés d'infections potentielles par des virus et des vers dans ces deux pays en 2010. La Turquie était en 2010 le premier pays pour les infections potentielles par virus, essentiellement à cause du virus Almanahe.B qui était prédominant dans ce pays. Dans le même temps, les vers Sality.AE et Mabezat.B ont occasionné le plus grand nombre d'infections potentielles par vers en Arabie saoudite en 2010. 6 Internet Security Threat Report, Volume 16 - Rapport personnalisé Origine des attaques visant la zone EMEA par pays Contexte Cette section analyse les principaux pays d'origine des attaques ayant visé la zone EMEA en 2010. Etant donné que l'ordinateur "assaillant" peut être contrôlé à distance, le pirate peut se trouver à un autre endroit que l'ordinateur utilisé pour lancer l'attaque. Par exemple, un pirate résidant aux Etats-Unis peut lancer une attaque visant un réseau situé au Royaume-Uni à partir d'un système corrompu installé en Allemagne. Méthodologie Cette section indique les principaux pays d'origine des attaques ayant visé des ordinateurs situés dans la zone EMEA en 2010. Une attaque réseau se définit généralement comme une activité malveillante menée via un réseau, qui a été détectée par un système de détection d'intrusion (IDS), un système de prévention d'intrusion (IPS) ou un pare-feu. Données Rang Source 2010 - EMEA 2009 - EMEA 2010 - Monde 1 2 3 4 5 6 7 8 9 10 1 2 4 26 13 7 8 10 3 6 1 4 2 16 20 3 8 2 5 21 Etats-Unis Royaume-Uni Chine Turquie Suède Allemagne Russie Canada France Pays-Bas Pourcentage 2010 - EMEA 2009 - EMEA 2010 - Monde 36% 11 % 9 % 6 % 5 % 3 % 3 % 2 % 2 % 2 % 36% 14% 5 % <1 % 1 % 3 % 2 % 2 % 6 % 3 % 22 % 6 % 13% 2 % 1 % 6 % 3 % 2 % 3 % 1 % Principales attaques par pays dans la zone EMEA, 2009-2010 Source : Symantec Commentaires Les Etats-Unis sont toujours au premier rang en ce qui concerne les attaques vers la zone EMEA. En 2010, les Etats-Unis étaient la principale source des attaques contre des systèmes situés dans la zone EMEA, soit 36 % des attaques détectées par les sondes Symantec installées dans la zone. Ce pourcentage est le même qu'en 2009, où les Etats-Unis se situaient également au premier rang. Ce résultat est probablement dû au niveau élevé d'activités malveillantes prenant naissance aux Etats-Unis, qui représentent aussi le principal pays d'origine des attaques à l'échelle mondiale (22 % du total). Le pays arrive également en tête pour l'ensemble des activités malveillantes au niveau mondial, avec 19 % du total. Une première place qui se confirme pour les ordinateurs infectés par des bots et des codes malveillants. La majorité des attaques visant la zone EMEA auraient d'ailleurs été menées par le biais de ces réseaux de bots malveillants. Les attaques originaires de Turquie sont en augmentation. La part de la Turquie dans les attaques visant la zone EMEA en 2010 a considérablement augmenté. Le rang élevé atteint par la Turquie pour le code malveillant dans la zone EMEA et le classement au premier rang pour les infections potentielles par virus peuvent avoir contribué à cette hausse. Par exemple, le virus Almanahe.B qui se propage via les réseaux a été particulièrement virulent en Turquie en 2010. 7 Internet Security Threat Report, Volume 16 - Rapport personnalisé Attaques Web dans la zone EMEA Contexte L'omniprésence des applications de navigation Web ainsi que les vulnérabilités de plus en plus fréquentes et faciles à exploiter de ces applications ont pour résultat une importante augmentation des menaces pour la sécurité. Les pirates voulant exploiter les vulnérabilités côté client n'ont plus besoin de porter atteinte à l'intégrité de réseaux spécifiques pour accéder à ces ordinateurs. Symantec analyse cette activité malveillante pour déterminer quels types d'attaques et de kits d'attaque sont utilisés par les pirates. L'objectif est d'obtenir des informations sur les tendances émergentes et sur les types d'attaques qui ont le plus de chances de réussir. Méthodologie Cette section analyse les principales attaques émanant de sites légitimes corrompus et de sites malveillants intentionnellement créés pour cibler les internautes en Europe, au Moyen-Orient et en Afrique (EMEA) en 2010. Pour ce faire, Symantec classe les types d'attaques en fonction du volume des rapports établis pendant une période donnée. Les dix principaux types d'attaques sont analysés sur cette base. Données Rang 1 2 3 4 5 6 7 8 9 10 Activité des attaques Kit Phoenix Kit Nukesploit P4ck Kit NeoSploit Attaque Adobe Reader Kit Sun Java Kit Eleonore Kit Fragus Kit Unique Pack Variante de programme malveillant Débordement de tampon JavaScript Pourcentage des 10 principales 49 % 26 % 7 % 7 % 4 % 4 % 3 % <1 % <1 % <1 % Activité Web malveillante dans la zone EMEA, 2010 Source : Symantec Commentaires La cybercriminalité sévit dans le monde entier. Les 10 principaux types d'attaques dans la zone EMEA en 2010 ne sont que très légèrement différents de ceux observés au niveau mondial pour la même année. Seules quelques variations sont observées dans le classement et les pourcentages. Cela témoigne de la nature globale de la cybercriminalité et montre qu'il n'y a pas de limite géographique immédiate puisque cette activité est concentrée sur le Web. Ceci est un facteur important du fort développement des attaques Web au cours de dernières années, en particulier sous l'angle du profit financier. En effet, l'activité malveillante d'un seul site Web peut atteindre des victimes potentielles dans le monde entier et ne se limite pas à un pays ou une région du monde. Phoenix devient tentaculaire : La majorité des attaques Web observées en 2010, aussi bien dans la zone EMEA qu'au niveau mondial, est liée au kit Phoenix. Ce kit d'attaques a été remarqué par les spécialistes de la sécurité pour la première fois en 2009 bien que sa première apparition semble remonter à 2007. Son action consiste à télécharger et exécuter un code d'exploitation qui lui est propre sur l'ordinateur d'un client Web. Une des versions de Phoenix est connue pour exploiter 16 vulnérabilités de plusieurs technologies. Les attaques qui réussissent peuvent installer un faux logiciel de sécurité appelé "PC Defender Antivirus" sur les ordinateurs victimes. Les vulnérabilités exploitées par Phoenix concernent des technologies largement répandues, notamment Sun Java, Microsoft Windows Media Player, Microsoft Internet Explorer, Adobe Flash Player et Adobe Flash Reader. • • • • • • 8 Informations sur le faux logiciel de sécurité PC Defender Antivirus Sun Java Runtime Environment and Java Development Kit Multiple Security Vulnerabilities Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability Microsoft Active Template Library Header Data Remote Code Execution Vulnerability Adobe Flash Player Multimedia File Remote Buffer Overflow Vulnerability Adobe Acrobat and Reader Multiple Arbitrary Code Execution and Security Vulnerabilities Internet Security Threat Report, Volume 16 - Rapport personnalisé Java est en ligne de mire : • Java est une cible intéressante pour les pirates : Comme le montre l'activité du kit d'attaques Phoenix ainsi que de nombreux autres kits qui savent utiliser les exploits sur Java, Java est une cible intéressante pour les pirates. D'autre part, les attaques Sun Java classées au sixième rang concernent des attaques Java qui ne sont pas directement imputables à un kit d'attaques spécifique. Dans certains cas, le code d'exploitation utilisé dans ces attaques est le même dans plusieurs kits si les auteurs des attaques ont obtenu le code à la même source. • Les pirates semblent avoir une prédilection pour les exploits Java : Détecter les attaques Java n'est pas facile car cette technologie repose sur un environnement d'exécution qui ajoute des niveaux de traitement supplémentaires qu'il faut donc analyser. Même si les attaques Java qui se sont produites en 2010 ont fait l'objet d'une grande attention, elles n'ont pas été lancées aussi fréquemment que les attaques exploitant d'autres technologies. L'une des raisons en est que les kits d'attaques lancent souvent les attaques de manière séquentielle : une exploitation après l'autre jusqu'à ce que ça réussisse, que toutes les options soient épuisées ou que la source des attaques soit bloquée par la victime. Les attaques peuvent être ainsi bloquées ou réussies avant que les exploitations Java soient lancées. Avec le temps, les pirates sont susceptibles de délaisser les séquences d'attaques et de donner la préférence à l'exploitation des vulnérabilités Java afin d'augmenter leurs chances de réussite. • Symantec s'attend à une augmentation du volume des attaques Java : Les auteurs des nouveaux kits, notamment Dragon Pack et Bleeding Life, ne se privent pas de vanter le succès des exploits Java. Symantec s'attend donc à une augmentation du volume des attaques Java. • Microsoft "Une vague d'exploits Java sans précédent" (en anglais) • De nouveaux exploits basés sur Java (en anglais) Attaques Web dans la zone EMEA Contexte Cette section analyse les pays à l'origine des infections d'ordinateurs par des bots en Europe, au Moyen-Orient et en Afrique (zone EMEA) pour l'année 2010. Un bot est un programme installé sur l'ordinateur d'un utilisateur à son insu, grâce auquel un pirate peut contrôler à distance le système visé par le biais d'un canal de communication, tel qu'un réseau IRC, P2P ou HTTP. Ces canaux de communication permettent aux pirates de commander à distance un grand nombre d'ordinateurs compromis via un canal unique et fiable au sein d'un réseau de bots, pour lancer ensuite des attaques coordonnées. Les bots peuvent remplir de nombreuses fonctions. Et la plupart peuvent être mis à jour pour assurer d'autres fonctions par simple téléchargement d'un nouveau code et de nouvelles commandes. Les pirates peuvent utiliser les bots pour une grande variété de tâches : Lancer des attaques par déni de service (DoS) contre le site Web d'une entreprise, diffuser du courrier indésirable et lancer des attaques de phishing, diffuser des logiciels espions et publicitaires, propager des codes malveillants et détourner, à partir d'ordinateurs infectés, des informations confidentielles qui peuvent ensuite être exploitées pour des vols d'identité. Toutes ces opérations peuvent avoir de graves conséquences sur le plan financier ou juridique. Les pirates privilégient les ordinateurs infectés par des bots basés sur un modèle de commande et de contrôle décentralisé. En effet, ceux-ci sont plutôt difficiles à désactiver et leur permettent de passer inaperçus parmi l'énorme masse de trafic sans relation transitant par les mêmes canaux de communication. Plus important encore, les opérations par réseaux de bots peuvent s'avérer très lucratives pour ceux qui les contrôlent car les bots sont très bon marché et plutôt faciles à propager. En 2010, Symantec a par exemple remarqué dans un forum clandestin une publicité faisant la promotion d'un réseau de 10 000 bots pour 15 dollars américains (la publicité ne précisait pas s'il s'agissait du prix d'achat ou de location). Méthodologie Un ordinateur infecté par un bot est considéré comme actif à une date donnée s'il lance au moins une attaque ce jour-là. Il ne s'agit pas nécessairement d'une activité continue ; le même ordinateur peut être actif à des dates différentes. Un ordinateur distinct infecté par un bot est un ordinateur qui a été actif au moins une fois pendant la période prise en compte. Les activités sur les ordinateurs infectés par des bots, faisant l'objet d'un suivi par Symantec, peuvent être classifiées comme suit : bots à attaque active, bots envoyant du spam (zombies de spam) ou bots utilisés pour les campagnes d'attaques par déni de service (DoS). 9 Internet Security Threat Report, Volume 16 - Rapport personnalisé Rang Source 2010 - EMEA 2009 - EMEA 2010 - Monde 1 2 3 4 5 6 7 8 9 10 1 2 8 4 3 9 6 7 5 10 2 4 7 8 10 11 12 14 15 17 Pourcentage 2010 - EMEA 2009 - EMEA 2010 - Monde 20 % 15 % 11 % 8 % 7 % 6 % 6 % 3 % 3 % 3 % 14% 12 % 5 % 12 % 12 % 4 % 7 % 5 % 7 % 3 % 12 % 9 % 7 % 5 % 4 % 4 % 4 % 2 % 2 % 2 % Allemagne Italie Royaume-Uni Pologne Espagne Hongrie France Portugal Turquie Israël Ordinateurs infectés par des bots dans la zone EMEA, par pays, 2009-2010 Source : Symantec Commentaires C'est dans la zone EMEA que la majorité des infections par des bots trouvent leur origine. En 2010, 59 % des ordinateurs infectés par des bots détectés au niveau mondial se trouvaient dans la zone EMEA, un chiffre dépassant le score de toute autre région. Sur les 10 premiers pays impliqués de la zone EMEA, sept figuraient également parmi les 10 principaux pays à l'origine des activités malveillantes régionales. Ce résultat suggère que le nombre d'ordinateurs infectés par des bots dans ces pays est peut-être le reflet de l'activité malveillante globale qui y est menée. Les 10 premiers pays à l'origine des infections par des bots dans la zone EMEA sont les mêmes qu'en 2009. Dans cette zone, la répartition des ordinateurs infectés par des bots reste relativement stable ; les pays classés dans les 10 premiers en 2010 sont les mêmes qu'en 2009. A l'exception de la Hongrie, les autres pays répertoriés ici en 2010 figurent parmi les 10 premiers de cette catégorie depuis 2007. Tendances dans l'activité des codes malveillants dans la zone EMEA Symantec collecte des informations sur les codes malveillants auprès de ses clients du monde entier par le biais d'une série de programmes de reporting anonymes (avec accord des utilisateurs), notamment Norton Community Watch, Symantec Digital Immune System et les technologies Symantec Scan and Deliver. Plus de 100 millions de clients, serveurs et systèmes de passerelle de messagerie contribuent activement à ces programmes. Les nouveaux spécimens de codes malveillants ainsi que la détection des types de codes malveillants connus sont rapportés à Symantec. Les incidents signalés sont considérés comme des infections potentielles si l'ordinateur ne dispose d'aucun logiciel de sécurité pour détecter et éliminer la menace. Les menaces émanant de codes malveillants sont classées en quatre catégories principales : les portes dérobées, les virus, les vers et les chevaux de Troie : Les portes dérobées permettent au pirate d'accéder à distance à des ordinateurs contaminés. Les chevaux de Troie sont un type de code malveillant que les utilisateurs installent involontairement sur leurs ordinateurs, la plupart du temps en ouvrant une pièce jointe ou en le téléchargeant sur Internet. Très souvent, les chevaux de Troie peuvent également être téléchargés et installés par un autre code malveillant. Les chevaux de Troie diffèrent des vers et des virus en ce sens qu'ils ne se propagent pas eux-mêmes. Les virus se propagent en infectant les fichiers résidant sur les ordinateurs contaminés. Les vers sont des codes malveillants qui peuvent se répliquer sur les ordinateurs infectés ou se copier sur un autre ordinateur, par exemple par le biais d'une clé USB. Les codes malveillants peuvent avoir plusieurs composantes. Par exemple, une porte dérobée est toujours associée à une autre composante de code malveillant. En règle générale, les portes dérobées sont aussi des chevaux de Troie mais de nombreux vers et virus intègrent également la composante de porte dérobée. D'autre part, beaucoup de spécimens de codes malveillants peuvent être classés comme vers et virus en fonction de leur mode de propagation. La raison en est que les pirates tentent d'activer les codes malveillants via différents vecteurs de propagation afin d'augmenter leurs chances de contaminer les ordinateurs. Ces analyses, d'où ressortent les tendances suivantes, sont basées sur les spécimens de codes malveillants détectés par Symantec dans la zone EMEA en 2010: 10 Internet Security Threat Report, Volume 16 - Rapport personnalisé • • • • • Fréquence des composantes de codes malveillants Les principaux codes malveillants Les nouvelles familles de codes malveillants les plus communes Les menaces liées aux informations confidentielles Les mécanismes de propagation Fréquence des composantes de codes malveillants dans la zone EMEA | Symantec Commentaires Comme cela a été indiqué dans l'introduction de cette section, Symantec classe les composantes de code malveillant en quatre catégories principales : les portes dérobées, les chevaux de Troie, les virus et les vers. Une analyse de la fréquence de chaque composante permet d'avoir une image de la grande diversité des menaces. En combinant ces analyses avec les données d'autres mesures, Symantec peut déterminer de manière plus précise les tendances émergentes dans les codes malveillants. Méthodologie Cette analyse concerne les 50 spécimens de codes malveillants les plus fréquents en 2010 en Europe, au Moyen-Orient et en Afrique (EMEA). Chaque spécimen est analysé et ses composantes sont ensuite classées dans l'une des quatre catégories de base. Le total de chaque composante est exprimé en pourcentage de sa fréquence dans chaque spécimen dans lequel elle a été détectée. Comme indiqué précédemment, les spécimens de codes malveillants appartiennent souvent à plusieurs catégories. Le volume des infections potentielles associées à chaque spécimen peut donc entrer dans les pourcentages de plusieurs catégories. Les pourcentages des 50 principales infections potentielles dans la période concernée dans la zone EMEA sont comparés à ceux des 50 principales infections potentielles de la période précédente pour la même région afin d'observer les décalages dans l'activité des menaces. Comme ces chiffres sont des pourcentages, il convient de noter qu'un changement de pourcentage ne représente pas une augmentation ou une diminution des infections potentielles d'une année sur l'autre. Données 60% 56% 50% 48% 49% 49% 47% 40% EMEA 2009 40% 42% EMEA 2010 37% 30% Global 2010 28% 20% 16% 12% 10% 0% Trojan Worm Virus 13% Backdoor Infections potentielles par catégories dans la zone EMEA, 2009-2010 Source : Symantec 11 Internet Security Threat Report, Volume 16 - Rapport personnalisé Commentaires Pourcentages stables : Dans l'ensemble, la régularité des pourcentages de chaque type de code malveillant année après année laisse supposer qu'un code malveillant à forte activité dans la zone EMEA (comme le ver Stuxnet) n'affecte pas le niveau global de l'activité dans la zone concernée (bien que le ver Stuxnet soit le plus actif dans la zone EMEA). Ceci est confirmé par les schémas similaires des principales familles de codes malveillants observées chaque année dans la zone. • Informations sur le ver Stuxnet Vers et virus : Les vers et les virus représentent des pourcentages d'infections potentielles dans la zone EMEA plus élevés qu'au niveau mondial. Ceci était dû en 2009 à la forte activité du ver Downadup (alias Conficker). Le virus Ramnit, qui contenait également des composantes de ver, a fortement contribué aux différences de pourcentage en 2010. De nombreux rapports sur Ramnit ont été établis à partir de sa découverte au début 2010. Ramnit était classé en 2010 au troisième rang parmi les spécimens de codes malveillants dans la zone EMEA et au premier rang des nouvelles familles de codes malveillants dans cette région. Tendances dans l'activité des codes malveillants dans la zone EMEA Contexte Cette section analyse les principaux spécimens de codes malveillants détectés dans la zone EMEA en 2010. Symantec analyse les spécimens de codes malveillants, nouveaux et déjà existants, pour déterminer quels types de menace et vecteurs d'attaque sont utilisés dans la plupart des menaces. Ces informations permettent également aux administrateurs et aux utilisateurs de mieux connaître les menaces que les pirates privilégient. Une meilleure connaissance des tendances dans le développement des menaces émergentes peut aider à renforcer les mesures de sécurité et à limiter les attaques futures. Méthodologie Pour déterminer les spécimens de codes malveillants, Symantec classe chaque spécimen en fonction du volume des infections potentielles observées pendant une période donnée. 12 Données Rang Nom Type Mécanismes de propagation 1 Sality.AE Virus/ ver Supports amovibles/ exécutables Utilise le polymorphisme pour déjouer les mécanismes de détection. Une fois installé sur un ordinateur, ce virus infecte les fichiers exécutables sur les lecteurs réseau locaux et partagés, ainsi que les supports amovibles. Puis, il se connecte à un réseau de bots P2P, télécharge d'autres menaces et les installe. Ce virus désactive également le logiciel de sécurité installé. 2 Mabezat Virus/ ver SMTP/CIFS/ supports amovibles Se copie sur les lecteurs réseau locaux et partagés, ainsi que les supports amovibles. Infecte les exécutables et chiffre différents types de fichiers. Ce virus peut aussi utiliser l'ordinateur infecté pour envoyer du spam contenant des pièces jointes infectées. 3 Ramnit Supports amovibles/ exécutables Infecte différents types de fichiers, comme les exécutables, et se copie sur les supports amovibles. Il s'exécute ensuite via la fonctionnalité AutoPlay quand le support amovible est utilisé sur d'autres ordinateurs. 4 Downadup Virus/ porte dérobée P2P/CIFS/vulnérabilité distante Le ver désactive les applications de sécurité et la fonctionnalité Windows Update, puis autorise l'accès à distance à l'ordinateur infecté. Il exploite les vulnérabilités pour se copier sur les lecteurs réseau partagés. Puis, il se connecte à un réseau de bots P2P, télécharge d'autres menaces et les installe. 5 SillyFDC Ver Supports amovibles Télécharge d'autres menaces et les copie sur les supports amovibles. Il s'exécute ensuite via la fonctionnalité AutoPlay quand le support amovible est utilisé sur d'autres ordinateurs. 6 Gamminma.AG Supports amovibles Se copie sur les supports amovibles et s'exécute ensuite via la fonctionnalité AutoPlay quand le support amovible est utilisé sur d'autres ordinateurs. Le ver surveille l'activité sur le Web et dérobe des informations de connexion à des comptes de jeux en ligne pour les transmettre par courrier électronique à l'attaquant. 7 FakeAV N/A Baisse les paramètres de sécurité et affiche de fausses alertes de sécurité incitant l'utilisateur à acheter un logiciel de sécurité factice afin de supprimer des menaces qui n'existent pas. 8 Chir.B SMTP Utilise son propre moteur SMTP pour envoyer des copies de lui-même à des adresses électroniques collectées sur des ordinateurs compromis. Le message électronique tente d'exploiter les vulnérabilités des ordinateurs cibles pour que l'infection se produise sans même que le destinataire ouvre le message. Il tente également d'infecter plusieurs types de fichiers sur les lecteurs locaux et mappés. 9 Virut.CF Exécutables Infecte différents types de fichiers, comme les exécutables, et se copie sur les lecteurs réseau locaux et partagés, ainsi que les supports amovibles. Il met également en place une porte dérobée dans le but de télécharger et d'installer des menaces supplémentaires. 10 Almanahe.B CIFS/lecteurs mappés/supports amovibles/ exécutables Désactive le logiciel de sécurité en arrêtant les processus liés. Infecte également les fichiers exécutables, et se copie sur les lecteurs réseau locaux et partagés, ainsi que les supports amovibles. Le ver peut aussi télécharger et installer des menaces supplémentaires. Cheval de Troie Virus/ porte dérobée Impacts/Fonctions Principaux spécimens de codes malveillants, EMEA Source : Symantec 13 Internet Security Threat Report, Volume 16 - Rapport personnalisé Le virus Sality.AE domine toujours : Le principal spécimen de code malveillant dans la zone EMEA pendant l'année 2010 selon le classement par volume d'infections potentielles était le virus Sality.AE. Par son activité, ce virus s'est révélé le principal contributeur au classement de la famille Sality au premier rang au niveau mondial en 2010. Découvert en 2008, le virus Sality.AE est depuis cette date un élément dominant dans le paysage des menaces. Il a été identifié par Symantec comme étant le principal spécimen de code malveillant en 2009. Sality est particulièrement intéressant pour les pirates car il utilise un code polymorphique qui peut gêner sa détection. Il est également capable de désactiver les services de sécurité sur les ordinateurs affectés. Ces deux éléments permettent aux pirates d'enregistrer un taux élevé d'installations réussies. Sality se propage en infectant les fichiers exécutables et en se copiant sur les lecteurs amovibles, par exemple sur les clés USB. Le virus utilise ensuite la fonctionnalité d'exécution automatique (AutoRun) de Microsoft Windows pour s'exécuter lorsque l'utilisateur accède à ce type de lecteur. Cela peut se produire lors de la connexion d'une clé USB infectée à l'ordinateur. Grâce à la facilité de propagation via les clés USB ou d'autres périphériques, les familles de codes malveillants telles que Sality.AE (ou SillyFDC et d'autres) sont des moyens efficaces pour installer un code malveillant supplémentaire sur les ordinateurs. • Informations sur Sality.AE • Accès au Global Internet Security Threat Report 2009 • Informations sur SillyFDC Le virus Ramnit : Le virus Ramnit est particulièrement intéressant car il a été classé troisième dans la zone EMEA en 2010 bien qu'il ait été découvert juste avant cette période d'observation (il est également la principale nouvelle famille de codes malveillants dans cette même zone pour cette même période). Les menaces découvertes récemment sont souvent éclipsées dans l'analyse par les menaces existant depuis longtemps. Bien qu'occupant le neuvième rang au niveau mondial en 2010, 56 % des infections ont été signalées dans la zone EMEA. • Informations sur Ramnit Principales nouvelles familles de codes malveillants dans la zone EMEA Contexte Symantec analyse les familles de codes malveillants, nouvelles et déjà existantes, pour déterminer quels types de menaces et vecteurs d'attaque sont utilisés dans la plupart des menaces. Ces informations permettent également aux administrateurs et aux utilisateurs de mieux connaître les menaces que les pirates privilégient. Une meilleure connaissance des tendances dans le développement des menaces émergentes peut aider à renforcer les mesures de sécurité et à limiter les attaques futures. Méthodologie Une famille de codes malveillants est initialement constituée d'un spécimen de code malveillant distinct. Au fur et à mesure que des variantes de ce spécimen apparaissent, la famille initiale grandit pour inclure les différentes variantes. Symantec détermine les familles de codes malveillants dominantes en classant et en analysant des données anonymes de reporting recueillies pendant une période donnée. Au cours de l'année 2010, ces analyses ont révélé plus de 1,5 milliard de détections de codes malveillants. Les codes malveillants sont classés en familles sur la base de variantes dans les signatures. Ces familles sont déterminées par Symantec lorsque le code est identifié. Les variantes apparaissent lorsque les pirates modifient ou améliorent un code malveillant existant pour ajouter ou modifier des fonctionnalités. Ces modifications altèrent suffisamment le code existant pour que les capteurs antivirus ne puissent pas détecter la menace en tant que signature existante. Cette section analyse les principales familles de codes malveillants détectées dans la zone EMEA en 2010. Symantec classe chaque famille de codes malveillants en fonction du volume d'infections potentielles signalées pendant la période concernée. Les 10 principales nouvelles familles de codes malveillants sont analysées sur cette base. 14 Internet Security Threat Report, Volume 16 - Rapport personnalisé Données Rang Nom Type Mécanismes de propagation 1 Ramnit Virus/ ver Supports amovibles/ exécutables Infecte différents types de fichiers, comme les exécutables, et se copie sur les supports amovibles. Il s'exécute ensuite via la fonctionnalité AutoPlay quand le support amovible est utilisé sur d'autres ordinateurs. 2 Sasfis Cheval de Troie N/A Arrive souvent par l'intermédiaire d'un spam ou d'un téléchargement insidieux (Drive-by download). Il télécharge et installe des menaces supplémentaires. 3 Stuxnet Ver CIFS/lecteurs mappés/supports amovibles/ vulnérabilité distante Se copie sur les lecteurs réseau locaux et partagés, ainsi que les supports amovibles. Il peut exploiter les vulnérabilités lors de la propagation. Il baisse les paramètres de sécurité et prend le contrôle du logiciel pour modifier le fonctionnement de machines industrielles. 4 Yimfoca Ver MI Arrête les processus de sécurité et amène les victimes à compléter des enquêtes lorsqu'elles tentent d'accéder à des sites Web légitimes. Utilise les clients de messagerie instantanée pour envoyer des messages de spam contenant un lien destiné à installer une copie du ver. 5 Sykipot Porte dérobée/ Cheval de Troie N/A Modifie les paramètres de registre de façon à s'exécuter au démarrage de l'ordinateur. Ouvre une porte dérobée qui permet à l'attaquant d'accéder à distance à l'ordinateur. 6 Bamital Cheval de Troie N/A S'infiltre dans les processus des navigateurs pour modifier les résultats des recherches Internet en y intégrant des URL publicitaires. 7 Spyrat Ver/ porte dérobée P2P/supports amovibles/partage de fichiers Ce ver est généré par le kit Spy-Net RAT. Il se copie sur les supports amovibles mappés et les dossiers partagés utilisés par les applications de partage de fichiers. Il crée un rootkit et ouvre une porte dérobée pour permettre à l'attaquant d'accéder à distance à l'ordinateur. Il peut également enregistrer les frappes clavier, dérober des mots de passe, détourner le trafic HTTP, manipuler des fichiers et permettre à l'attaquant d'accéder aux données d'entrée de webcam. 8 Wapomi Virus/ ver CIFS/supports amovibles/exécutables Crée un rootkit pour masquer sa présence et peut télécharger des fichiers supplémentaires. Il se copie sur les supports amovibles et les lecteurs réseau partagés. Il infecte également les fichiers exécutables et envoie les informations relatives aux ordinateurs compromis à l'attaquant. 9 Mijapt Cheval de Troie N/A Exploite plusieurs vulnérabilités de Sun Java pour télécharger et installer des menaces supplémentaires. 10 Maljava Cheval de Troie N/A Exploite plusieurs vulnérabilités de Sun Java pour télécharger et installer des menaces supplémentaires. Impacts/Fonctions Principales nouvelles familles de codes malveillants, zone EMEA Source : Symantec Commentaires Le virus Ramnit : Principale nouvelle famille de codes malveillants dans la zone EMEA en 2010, Ramnit occupe également le troisième rang comme spécimen de code malveillant pour la même zone et la même année, ce qui est inhabituel pour une nouvelle menace. Bien qu'occupant le neuvième rang au niveau mondial en 2010, 56 % des infections ont été signalées dans la zone EMEA. • Informations sur Ramnit 15 Internet Security Threat Report, Volume 16 - Rapport personnalisé Le cheval de Troie Sasfis : Comme le virus Ramnit, Sasfis a eu un impact important en 2010 bien qu'il ait été découvert peu avant la période d'observation. Loin d'être aussi dangereux que Ramnit, Sasfis est classé au 15ème rang dans la zone EMEA et au 12ème au niveau mondial parmi les principaux spécimens de codes malveillants. • Informations sur le cheval de Troie Sasfis Le ver Stuxnet : Bien que développé pour un type de cible très spécifique, ce ver est classé au 29ème rang des familles de codes malveillants selon les rapports d'infections potentielles établis par Symantec en 2010. Cela témoigne de sa capacité à se propager sur les ordinateurs utilisés pour contrôler la capacité des systèmes dans le secteur industriel. Le ver Stuxnet a fait l'objet d'une grande attention en 2010 car il était le premier code malveillant à avoir été créé spécialement pour attaquer les contrôleurs de logique programmables (PLC) dans l'industrie. Ce ver a pu également se propager en utilisant les exploits de vulnérabilités "zero-day", un record pour un code malveillant. Deux d'entre elles étaient des vulnérabilités d'exécution de code à distance et deux autres des vulnérabilités d'escalade des privilèges locaux. (L'escalade des privilèges se produit lorsque des capacités d'administration dépassant les droits habituels de l'utilisateur sont autorisées sur un ordinateur.) Non seulement le ver Stuxnet exploite ce qui était à ce moment-là des vulnérabilités "zero-day", mais il exploite également de nombreuses autres vulnérabilités, ce qui témoigne des incroyables ingrédients de sophistication, réflexion et planification qui entrent dans la composition de cette menace. Ce ver est important car la possibilité de ce type d'attaque avait fait l'objet de discussions dans le passé mais n'avait jamais été observée en dehors des environnements de laboratoire. Stuxnet est notamment la première famille de codes malveillants pouvant directement affecter les structures physiques et il montre que le code malveillant peut entraîner une importante destruction physique. • • • • Informations sur le ver Stuxnet Stuxnet : une véritable avancée technologique (en anglais) Article lié : Iran : un logiciel malveillant sabote des centrifugeuses d'uranium (en anglais) Stuxnet utilise trois nouvelles vulnérabilités de type "zero-day" (en anglais) Principales nouvelles familles de codes malveillants dans la zone EMEA Contexte Certains programmes de code malveillant sont spécialement conçus pour exposer des informations confidentielles qui sont stockées sur un ordinateur infecté. Ces menaces constituent un risque pour les données sensibles telles que les informations système, les fichiers et documents confidentiels et les informations d'identification à des fins de connexion. Certains codes malveillants, par exemple ceux qui permettent d'accéder à un ordinateur par porte dérobée, donnent à un pirate le contrôle de l'ordinateur attaqué. Ces menaces exercées sur les informations confidentielles sont particulièrement inquiétantes en raison de leur potentiel d'utilisation dans des activités criminelles. Les acteurs de l'économie souterraine utilisent les codes malveillants pour accéder aux coordonnées de comptes bancaires, aux informations de cartes de crédit, aux identifiants de connexion et à des entreprises spécifiques. Dans le contexte du recours généralisé aux achats et aux opérations bancaires en ligne, les atteintes de cette nature peuvent provoquer des pertes financières significatives, en particulier si des informations de carte de crédit ou des coordonnées de comptes bancaires sont dévoilées. Dans une entreprise, la non-protection des informations confidentielles peut conduire à des pertes de données considérables. S'il s'agit des données d'un client (par exemple les informations de sa carte de crédit), la confiance de celui-ci dans l'entreprise peut être gravement compromise. L'entreprise en question peut aussi se retrouver en infraction avec la législation locale. Des informations sensibles telles que les données financières, les plans stratégiques ou les technologies propriétaires d'une entreprise peuvent également être dérobées. Méthodologie Cette section analyse les principaux types de menaces exercées sur les informations confidentielles en Europe, au Moyen-Orient et en Afrique (EMEA) en 2010. Symantec a analysé les 50 premiers spécimens de code malveillant, classés selon le volume d'infections potentielles enregistrées pendant l'année. Chaque spécimen est analysé sur la base de sa capacité à mettre en danger les informations confidentielles et les résultats sont ensuite convertis en pourcentages de menaces. 16 Internet Security Threat Report, Volume 16 - Rapport personnalisé Données 100% 90% 88% 92% 80% 78% 79% 70% 74% 75% 74% 65% 60% 76% 69% 50% 40% 30% 20% 10% 0% Exports user data Exports systems data Exports email addresses EMEA Keystroke logger Allows remote access Global Menaces constituant un risque pour les informations confidentielles, zone EMEA et niveau mondial Symantec Commentaires Menaces permettant un accès à distance aux informations confidentielles : Dans la zone EMEA, le code malveillant qui permet un accès à distance aux informations confidentielles constituait 88 % des menaces in 2010 et 85 % en 2009. Depuis quelque temps, l'accès à distance est la menace la plus grave, certainement en raison de sa commodité et de sa souplesse. L'accès à distance aux ordinateurs permet aux pirates d'effectuer toutes sortes d'actions supplémentaires qui n'ont pas besoin d'être programmées dans le code malveillant d'accès par porte dérobée. Menaces visant à exporter des données utilisateur et enregistrer les frappes clavier : En 2010, 78 % des menaces exercées sur les informations confidentielles étaient constitués par l'exportation des données utilisateur, un pourcentage identique à celui de 2009. Le pourcentage de menaces incluant les enregistreurs de frappe est passé de 75 % en 2009 à 74 % en 2010. Ces deux types de menaces sont pour les pirates des moyens efficaces de recueillir des informations financières (informations d'accès à la banque, identifiants de compte et autres informations confidentielles). Augmentation permanente des menaces mettant en péril les informations confidentielles : Comme cela a été observé au niveau mondial et dans les précédentes éditions du Symantec Internet Security Threat Report, chaque catégorie de menace a fortement augmenté (tendance qui se confirme dans cette période d'observation). Bien que les pourcentages au niveau mondial soient légèrement supérieurs à ceux de la zone EMEA, le résultat total est quasiment identique. La différence vient peut-être du fait que le nombre de codes malveillants menaçant plusieurs types d'informations confidentielles était légèrement plus élevé au niveau mondial que dans la zone EMEA. La principale motivation des pirates est le profit financier. Les informations dérobées peuvent être utilisées ou vendues, ce qui constitue le nerf de la guerre de ce type de cybercriminalité. 17 Internet Security Threat Report, Volume 16 - Rapport personnalisé Mécanismes de propagation dans la zone EMEA Contexte Les vers et les virus utilisent divers moyens pour se propager d'un ordinateur à un autre. C'est ce que l'on appelle des mécanismes de propagation. Les mécanismes de propagation peuvent faire appel à toutes sortes de vecteurs tels que les messageries instantanées (IM), le protocole SMTP (Simple Mail Transfer Protocol), le partage de fichiers Windows ou CIFS (Common Internet File System), les transferts de fichiers peer-to-peer (P2P) et les vulnérabilités exploitables à distance. Certains codes malveillants peuvent même utiliser un autre code malveillant comme vecteur de propagation en repérant un ordinateur qui a été attaqué via un serveur de porte dérobée et en l'utilisant pour se télécharger et s'installer directement. Méthodologie Cette section analyse les principaux mécanismes de propagation utilisés par les codes malveillants en Europe, au Moyen-Orient et en Afrique (EMEA) en 2010. Symantec analyse les spécimens de codes malveillants et classe les différents mécanismes de propagation en fonction du volume d'infections potentielles signalées dans la région concernée pendant la période d'observation. Comme les spécimens de codes malveillants utilisent souvent plusieurs mécanismes pour se propager, certains pourcentages peuvent être supérieurs à 100 %. 2010 Rang EMEA Nom 2010 EMEA 2010 Monde 1 Partage de fichiers exécutables : Le code malveillant se reproduit ou infecte les fichiers exécutables. Les fichiers sont distribués à d'autres utilisateurs, le plus souvent via une copie sur des supports amovibles, tels que des clés USB, et la configuration d'une procédure d'exécution automatique. 77 % 75 % 72 % 2 Transfert de fichiers, CIFS : Le protocole de partage de fichiers CIFS (pour Common Internet File Sharing) permet de partager des fichiers et autres ressources d'un ordinateur avec des ordinateurs tiers via Internet. Il est possible de partager un ou plusieurs des répertoires présents sur un ordinateur pour permettre aux tiers d'accéder aux fichiers qui y sont contenus. Le code malveillant se reproduit dans les répertoires partagés pour affecter les autres utilisateurs qui accèdent au partage. 40 % 44 % 47% 3 Transfert de fichiers, pièce jointe : Le code malveillant envoie un spam contenant une copie de lui-même. Si le destinataire du spam ouvre la pièce jointe, le code malveillant s'exécute et l'ordinateur risque d'être compromis. 29% 24 % 18 % 4 Vulnérabilité exploitable à distance : Le code malveillant exploite une vulnérabilité qui lui permet de se reproduire ou d'infecter un autre ordinateur. 15 % 15 % 24 % 5 Partage de fichiers, P2P : Le code malveillant se copie dans les dossiers d'un ordinateur infecté, qui sont associés aux applications de partage de fichiers P2P. Lors de l'exécution de l'application, le fichier malveillant est partagé avec les autres utilisateurs du réseau P2P concerné. 3 % 6 % 8 % 6 Transfert de fichiers, HTTP, URL intégré, messagerie instantanée : Le code malveillant envoie ou modifie des messages instantanés avec un URL intégré. Lors de la réception du message, un clic sur cet URL déclenche une attaque et l'installation d'une copie du code malveillant. 2 % 2 % 4 % 7 SQL : Le code malveillant accède aux serveurs SQL en exploitant une vulnérabilité SQL latente ou en essayant des mots de passe d'administration par défaut ou évidents pour se copier sur le serveur. 2 % 2 % 2 % 8 Transfert de fichiers, messagerie instantanée : Le code malveillant utilise un client de messagerie instantanée pour lancer un transfert de fichiers de lui-même vers un destinataire de la liste de contacts de la victime. 1 % 1 % 1 % 9 Transfert de fichiers, HTTP, URL intégré, corps de message électronique : Le code malveillant envoie des messages de spam contenant un URL malveillant. Lors de la réception du message, un clic sur cet URL déclenche une attaque et l'installation d'une copie du code malveillant. <1 % 1 % 1 % 10 Transfert de fichiers, pièce jointe MMS : Le code malveillant utilise le service de messagerie multimédia (MMS) pour envoyer des messages de spam contenant une copie de lui-même. <1 % <1 % <1 % Principaux vecteurs de propagation dans la zone EMEA Source : Symantec 18 2009 EMEA Internet Security Threat Report, Volume 16 - Rapport personnalisé Commentaires L'utilisation des mécanismes de propagation est relativement stable : Il y a eu peu de changements dans les pourcentages des mécanismes de propagation dans la zone EMEA de 2009 à 2010. Il semble donc que les pirates enregistrent des taux de réussite relativement stables dans les mécanismes qu'ils utilisent. Lorsqu'un mécanisme de propagation devient moins fiable, en raison de correctifs ou de solutions de limitation des risques, les pirates en utilisent un autre et une nouvelle tendance émerge. Partage de fichiers exécutables : Il y a eu peu de changements dans les pourcentages des mécanismes de propagation dans la zone EMEA de 2009 à 2010. Il semble donc que les pirates enregistrent des taux de réussite relativement stables dans les mécanismes qu'ils utilisent. Lorsqu'un mécanisme de propagation devient moins fiable, en raison de correctifs ou de solutions de limitation des risques, les pirates en utilisent un autre et une nouvelle tendance émerge. • Informations sur le ver SillyFDC • Informations sur Sality.AE • Informations sur le ver Stuxnet Pièces jointes et vulnérabilités exploitables à distance : En 2010, entre la zone EMEA et le niveau mondial, la propagation via les pièces jointes et la propagation via les vulnérabilités exploitables à distance donnait des résultats inverses. Les pièces jointes représentaient 24 % dans la zone EMEA et 18 % au niveau mondial alors que les vulnérabilités exploitables à distance étaient à 18 % dans la zone EMEA et à 24 % au niveau mondial. Mabezat.B et Chir.B représentaient, au niveau mondial, la majorité des spécimens de codes malveillants qui se propagent par les pièces jointes et la majorité d'entre eux avaient pour origine la zone EMEA. Toutefois, les principaux spécimens de codes malveillants qui se propagent par les vulnérabilités exploitables à distance ne semblent pas avoir pour origine une zone spécifique. Si l'on prend pour hypothèse que la propagation par les pièces jointes a pour origine la zone EMEA, le pourcentage est alors légèrement plus élevé pour ce mécanisme dans la zone EMEA que dans les autres zones du monde. • Informations sur Mabezat.B • Informations sur Chir.B Mécanismes de propagation dans la zone EMEA Il s'agit des tendances de phishing et de spam. Le phishing est une technique qui consiste à tenter de récupérer les informations confidentielles d'un particulier, d'un groupe ou d'une entreprise en imitant (ou usurpant) une marque particulière en général très connue. Les adeptes du phishing tentent d'inciter les utilisateurs à révéler des données personnelles, telles que leurs numéros de carte de crédit, leurs identifiants de connexion aux services bancaires en ligne et autres informations confidentielles qu'ils peuvent ensuite utiliser pour commettre des actes frauduleux. Lors d'une tentative de phishing, les utilisateurs sont amenés à entrer leurs identifiants dans une zone de saisie en ligne. C'est ce qui distingue le phishing des fraudes basées sur le spam (comme le très répandu "scam 419" et autres mécanismes d'ingénierie sociale). • Scam 419 – Le piège d'origine et ses variantes Le "spam" est souvent défini comme le courrier électronique indésirable ou non sollicité envoyé par un tiers. Considéré comme une nuisance par les utilisateurs et les administrateurs, le spam constitue également un véritable problème de sécurité car il peut servir d'intermédiaire aux chevaux de Troie, aux virus et aux tentatives de phishing. Les messages de spam peuvent par ailleurs comporter des liens URL vers des sites malveillants qui attaquent le système de l'utilisateur à son insu au premier clic. Un nombre massif de messages de spam peut également entraîner une perte de service ou une dégradation des performances des ressources réseau et des passerelles de messagerie. • Article BBC News : Des spammeurs s'emparent d'adresses e-mail Plusnet (en anglais) Cette section analyse les tendances en matière de phishing et de spam observées par Symantec en Europe, au Moyen-Orient et en Afrique (EMEA) en 2010 : • URL de phishing par pays et principaux secteurs visés • Pays d'origine du spam par réseau de bots 19 Internet Security Threat Report, Volume 16 - Rapport personnalisé Sites de phishing dans la zone EMEA par pays et par principaux secteurs ciblés Contexte Cette section analyse les pays d'Europe, du Moyen-Orient d'Afrique (EMEA) dans lesquels est hébergée la plupart des sites de phishing, ainsi que le secteur le plus particulièrement ciblé dans chaque pays. Ces données représentent un instantané dans le temps et ne tiennent pas compte du déplacement de certains sites de phishing au cours de la période d'observation. Il convient aussi de noter que le fait qu'un site de phishing soit hébergé par un pays n'implique pas nécessairement que le pirate se trouve lui-même dans ce pays. Méthodologie Les données de cette section ont été obtenues en regroupant les liens insérés dans les messages de phishing et en recoupant les adresses avec plusieurs bases de données tierces basées sur abonnement qui lient l'emplacement géographique des systèmes aux adresses. Dans le cas présent, Symantec évalue le nombre de sites de phishing en déterminant le nombre d'adresses uniques qui hébergent des pages Web utilisées à des fins de phishing. Bien que ces bases de données soient en général fiables, il existe une petite marge d'erreur. Les données produites sont ensuite utilisées pour déterminer la répartition globale des sites de phishing. Données Rang Source 2010 Monde Pourcentage 2010 EMEA 2009 EMEA 2010 EMEA 2009 EMEA 1 10 2 Pays-Bas 26 % 4 % 2 6 4 Allemagne 13% 8 % Principal secteur ciblé dans le pays Pourcentage d'URL ciblant le secteur 8 % Finance 89 % 4 % Finance 73% 2010 Monde 3 5 5 Royaume-Uni 12 % 9 % 4 % Finance 84% 4 8 6 Italie 10 % 5 % 3 % Finance 89 % 5 7 7 France 9 % 6 % 3 % Finance 84% 6 4 9 Russie 6 % 9 % 2 % Finance 70 % 62 % 7 17 13 Bulgarie 3 % 1 % 1 % Assurance 8 2 14 Pologne 3 % 11 % 1 % Finance 86% 9 1 5 Espagne 3 % 11 % 1 % Finance 79% 10 14 16 Ukraine 2 % 2 % 1 % Finance 69 % Principaux pays hébergeant des sites de phishing et principaux secteurs ciblés dans la zone EMEA Source : Symantec Corporation Commentaires Les zombies de spam mènent au phishing : Les Pays-Bas ont hébergé le plus fort pourcentage de sites de phishing dans la zone EMEA en 2010, ce qui représente 26 %. Ils ont été classés au deuxième rang pour les zombies de spam et au troisième pour le phishing. Il semble que de nombreux zombies de spam aient été utilisés pour disséminer le spam contenant des liens vers des sites de phishing. Les informations financières sont la principale cible des sites de phishing : Il n'est pas surprenant que le secteur financier soit le plus ciblé par des sites de phishing : dans neuf des dix principaux pays considérés dans cette analyse. Les sites de phishing qui attaquent le secteur financier tentent de dérober toutes sortes d'informations pouvant être utilisées pour le vol d'identité et la fraude (noms, numéros d'INSEE, numéros de cartes de crédit et identifiants bancaires). Les cybercriminels s'intéressent essentiellement aux informations financières susceptibles de leur rapporter un profit rapide, au détriment des biens qui demandent davantage de temps, par exemple par le biais d'escroqueries. 55Le trafic entrant correspond au trafic qui rentre dans le réseau en provenance d'Internet ou d'un autre réseau. Le trafic sortant correspond au trafic qui quitte le réseau pour aller vers Internet ou un autre réseau. 20 Internet Security Threat Report, Volume 16 - Rapport personnalisé Pays d'origine du spam par réseau de bots dans la zone EMEA Contexte Cette section analyse les 10 principaux pays d'origine du spam par réseau de bots en Europe, au Moyen-Orient et en Afrique (EMEA) en 2010. Les réseaux de bots peuvent être identifiés par des modèles SMTP et par la structure des en-têtes de messages électroniques. Les messages de spam sont classés pour une analyse plus poussée en fonction du réseau de bots d'origine durant la phase de transaction SMTP. Cette analyse examine uniquement les réseaux de bots impliqués dans l'envoi de messages de spam, et non les réseaux de bots utilisés dans d'autres buts, pour des fraudes financières ou des attaques par déni de service par exemple. Méthodologie Les systèmes de leurres de Symantec ont reçu chaque jour entre 30 et 50 millions de messages de spam en 2010. Ceux-ci sont classés selon une série de règles heuristiques appliquées à la communication SMTP et aux données d'en-tête des messages électroniques. Les informations sont partagées avec d'autres initiés du secteur pour assurer leur actualisation et leur précision. Données Rang Source 2010 - EMEA 2010 - Monde 1 2 2 3 Pourcentage 2010 - EMEA 2010 - Monde Russie 14 % 7 % 4 Ukraine 7 % 4 % 5 Royaume-Uni 7 % 4 % 4 6 Allemagne 6 % 3 % 5 7 Italie 5 % 3 % 6 9 Roumanie 5 % 3 % 7 13 France 5 % 2 % 8 14 Pologne 4 % 2 % 9 5 Espagne 4 % 2 % 10 16 Arabie saoudite 4 % 2 % Principaux pays d'origine du spam par réseau de bots dans la zone EMEA Source : MessageLabs Intelligence Commentaires Les principaux réseaux de bots impliqués dans l'envoi de spam se trouvent dans la zone EMEA. En 2010, la moitié du spam par réseau de bots détecté par Symantec provenait de la zone EMEA. La Russie se plaçait en tête avec un pourcentage de 14 % du total de la zone EMEA. Sur le plan mondial, la Russie tenait la troisième position avec 7 % du total. L'une des principales explications est que la Russie est une source importante d'infection des ordinateurs par les bots (avec des réseaux de bots d'envoi de spam importants, tels que Grum, Cutwail, Maazben, Ozkok (Mega-D) et Bobax). A la fin de l'année 2010, 9 % des ordinateurs infectés par des bots d'envoi de spam se trouvaient en Russie. Les réseaux de bots Grum et Cutwail étaient respectivement les deuxième et troisième réseaux de bots d'envoi de spam les plus actifs en termes de nombre de messages de spam envoyés en 2010. • MessageLabs Intelligence : rapport annuel sur la sécurité - 2010 21 Internet Security Threat Report, Volume 16 - Rapport personnalisé 22 Toutes les informations techniques fournies par Symantec sont protégées par les droits d'auteur et sont la propriété de Symantec Corporation. LIMITATION DE GARANTIE. Symantec fournit le présent document en l'état, sans garantie aucune quant à l'exactitude ou l'adéquation à une quelconque utilisation des informations qu'il contient. Ce document peut contenir des inexactitudes techniques ou des erreurs typographiques, et ne pas refléter les développements les plus récents, et Symantec ne peut en aucune manière garantir qu'elles soient complètes, exactes ou actualisées. Symantec décline en outre toute responsabilité et ne propose aucune garantie quant aux opinions exprimées ou références fournies dans ce document. L'exactitude des présentes informations peut être remise en question au fil des circonstances. Les opinions exprimées dans ce document reflètent le jugement au moment de la publication et sont sujettes à modification. Toute utilisation des informations contenues dans ce document est réalisée aux risques de l'utilisateur. Symantec décline toute responsabilité concernant les erreurs, omissions ou dommages pouvant résulter de l'utilisation des présentes informations ou de la confiance accordée auxdites informations. Symantec se réserve le droit de modifier ces informations à tout moment et sans préavis.