2010 06 FR GData Malware Report

Transcription

G Data
Rapport de sécurité
Rapport semestriel
janvier-juin 2010
Rapport de sécurité_1_2010
Ralf Benzmüller et Sabrina Berkenkopf
G Data SecurityLabs
Go safe. Go safer. G Data.
Rapport semestriel janvier-juin 2010
Table des matières
Vue d’ensemble..........................................................................................................................................3
Logiciels malveillants : chiffres et données..........................................................................................4
Une multitude de logiciels malveillants..................................................................................................................4
Catégories de logiciels malveillants..........................................................................................................................5
Familles de logiciels malveillants...............................................................................................................................6
Plates-forme : .Net en pleine progression..............................................................................................................8
Bilan et tendances 2010............................................................................................................................9
Prévisions.............................................................................................................................................................................9
Événements et tendances du premier semestre 2010.....................................................................10
Janvier 2010......................................................................................................................................................................10
Février 2010 .....................................................................................................................................................................11
Mars 2010..........................................................................................................................................................................13
Avril 2010...........................................................................................................................................................................15
Mai 2010.............................................................................................................................................................................17
Juin 2010............................................................................................................................................................................18
Copyright © 2010 G Data Software AG
2
Vue d’ensemble
• Un nouveau record a été atteint au cours du premier semestre 2010, avec l’apparition de
1 017 208 nouveaux dangers informatiques.
• Il s’agit d’une augmentation de 10 % par rapport au semestre précédent et de 50 % par rapport
à l’an dernier.
• Plus de deux millions de nouveaux dangers devraient être identifiés au cour de l’année 2010.
• Avec une augmentation de 51 %, les logiciels espions sont la catégorie de logiciels malveillants
qui connaît la plus forte croissance. Cela concerne tout particulièrement les enregistreurs de
frappe et les chevaux de Troie bancaires.
• Le nombre de logiciels publicitaires a baissé de 40 %.
• Les deux familles de logiciels malveillants les plus productives, Genome et Hupigon, ont créé
davantage de variantes que tous les malwares de l’année 2007 réunis.
• Les dangers destinés à Windows prédominent, ils représentent 99,4 % des événements. Les
virus .NET ont cependant été multipliés par un facteur de 3,4 et représentent donc désormais
0,9 % des événements. La plate-forme .NET est également privilégiée par les auteurs de logiciels malveillants.
• Les codes nuisibles pour les dérivés Unix et le langage Java connaissent également une
augmentation notable.
Tendances
• Le vol de données est et reste l’une des principales fonctions des logiciels malveillants.
• Les logiciels publicitaires sont remplacés par de faux logiciels de protection anti-virus et des
logiciels de chantage.
• De plus en plus de fonctions et de services en ligne sont utilisés à des fins abusives.
Événements
• Les réseaux sociaux sont à l’origine de nombreuses innovations mais également de quelques
problèmes au niveau de la protection des données. Au premier plan, Twitter et Facebook.
• Le réseau de zombies Mariposa a été démantelé. La police espagnole a arrêté les trois exploitants.
• Le réseau de zombies Waledac, l’un des dix plus grands réseaux aux États-Unis, a également été
lourdement frappé par les autorités : le réseau a perdu 277 domaines .com.
• L’Autorité des marchés des émissions allemande (Deutsche Emissionshandelsstelle, DEHSt) a été
la victime d’une attaque par hameçonnage, dans le cadre de laquelle les coupables ont réalisé
des transactions pour une valeur d’environ trois millions d’euros.
• Les auteurs de logiciels malveillants mettent toujours plus l’accent sur les fichiers PDF, les rapports concernant les points faibles des lecteurs PDF sont donc de plus en plus nombreux.
3
Logiciels malveillants : chiffres et données
Les logiciels malveillants en croissance
2005
2006
2007
2008
2009
2010 Semestre 1
Schéma 1 : nombre de nouveaux logiciels malveillants par an depuis 2005 et le premier semestre 2010
Au cours du premier semestre 2010, le record du semestre précédent a été battu d’environ 10 %,
avec 1 017 208 nouveaux virus informatiques1. Il s’agit d’une augmentation de plus de 50 % par
rapport à l’an dernier. Rien qu’au cours du premier semestre 2010, plus de nouveaux virus ont fait
leur apparition que sur l’année 2008 entière. La barre des deux millions de nouveaux virus devrait
être atteinte d’ici la fin de l’année.
Jan.Fév.
Mars
Avril
Mai
Juin
Juillet
Schéma 2 : nombre de nouveaux logiciels malveillants par mois pour
1
Août
2009 et
Sep.
Oct.
Nov.
Déc.
2010
Les chiffres du présent compte-rendu sont basés sur la détection des logiciels malveillants par les signatures anti-virus. Ils sont basés
sur les similitudes au niveau du code des fichiers nuisibles. De nombreux codes nuisibles se ressemblent, ils sont donc regroupés
dans des familles au sein desquelles il existe de petites variations. Les fichiers fondamentalement différents sont à la base de familles
propres. Les chiffres sont basés sur les nouvelles variantes de signatures créées au cours du premier semestre 2010.
4
Catégories de logiciels malveillants
Le nombre de logiciels espions a augmenté de 3,4 % par rapport au deuxième semestre 2009.
Aucune autre catégorie n’a connu une croissance aussi forte. Le fort recul enregistré dans le dernier rapport semestriel de G Data n’est donc plus d’actualité. En chiffres absolus, cela signifie une
augmentation de 51 %. Parmi les taux de croissance les plus élevés de la catégorie des logiciels
espions, les enregistreurs de frappe2 et les chevaux de Troie bancaires3 se distinguent.
Les Rootkits connaissent quant à eux une forte augmentation. Au cours du semestre dernier, leur
nombre a de nouveau été multiplié par 2,6. Les vers, les valeurs montantes du dernier rapport
semestriel n’ont en revanche pas poursuivi leur progression mais se sont toutefois maintenus à niveau. Le nombre de chevaux de Troie se maintient au niveau élevé du semestre précédent. Dans
ce groupe, le nombre de ransonware (logiciels de chantage) a été quasiment multiplié par dix par
rapport à l’an dernier. Le nombre de nouvelles portes dérobées (backdoor) a baissé de 2,9 %, la
tendance à la baisse amorcée au premier semestre 2009 se poursuit donc. Le nombre d’outils a
également baissé d’un tiers et représente désormais 1 % des logiciels malveillants. Le nombre de
logiciels publicitaires a connu la baisse la plus évidente. Sur une période d’un an (du premier
semestre 2009 au premier semestre 2010), leur nombre a baissé de 40 %, ce qui représente une
baisse de pourcentage de 5,3 à 2,1 dans la catégorie des logiciels malveillants.
Catégorie
Chevaux de
Troie
Téléchargeurs/
injecteurs
Différence
1er
Nb.
semestre
Nb. 1er
Nb. 2eme
2010/ 2eme premier
semestre
semestre
semestre
semestre
2010
Proportion 2009
Proportion 2009
2009
Proportion
Différence
1er
semestre
2010/ 1er
semestre
2009
433.367
42,6 %
393.421
42,6 %
+10 %
221.610
33,6 %
+96 %
206.298
20,3 %
187.958
20,3 %
+10 %
147.942
22,1 %
+39 %
Logiciels espions
130.175
12,8 %
86.410
9,4 %
+51 %
97.011
14,6 %
+34 %
Portes dérobées
122.469
12,0 %
137.484
14,9 %
-11 %
104.224
15,7 %
+18 %
Vers
53.609
5,3 %
51.965
5,6 %
+3 %
26.542
4,0 %
+102 %
Trousses
administrateur
pirate
31.160
3,1 %
11.720
1,3 %
+166 %
12.229
1,9 %
+155 %
Logiciels
publicitaires
21.035
2,1 %
30.572
3,3 %
-31 %
34.813
5,3 %
-40 %
Outils
9.849
1,0 %
14.516
1,6 %
-32 %
11.413
1,6 %
-14 %
Exploits
2.495
0,2 %
3.412
0,4 %
-27 %
2.279
0,3 %
+9 %
Autres
6.751
0,7 %
5.543
0,5 %
+22 %
4.593
0,7 %
+47 %
1.017.208
100,0 %
924.053
100,0 %
+10 %
663.952
100,0 %
+53 %
Total
Tableau 1 : nombre et proportion des catégories de logiciels malveillants 2009 et 2010, ainsi que leur évolution
2
3
2,5 fois par rapport au deuxième semestre 2009
2,2 fois par rapport au premier semestre 2009
5
Familles de logiciels malveillants
Il est possible de classer les virus informatiques en familles selon leurs fonctions et leurs propriétés.
Certaines de ces familles génèrent sans cesse de nouvelles variantes. Le nombre de virus a augmenté de manière constante par le passé tandis que le nombre de familles baissait. Cette tendance a pris fin le semestre dernier. Au cours du premier semestre 2010, on comptait 2 262 familles
de logiciels malveillants en activité. Ce qui représente une augmentation d’environ 3 % par rapport
au semestre précédent et d’un septième par rapport au premier semestre 2009.
1
2
3
4
5
6
7
8
9
10
Nb. 1er
semestre
2010
116.469
32.830
30.055
25.071
24.961
21.675
19.385
17.542
16.543
16.517
Famille de
virus
Genome
Hupigon
Buzus
Refroso
Scar
Lipler
OnlineGames
Palevo
Startpage
Magania
Nb. 2eme
semestre
2009
67.249
38.854
37.026
35.115
24.164
20.581
19.848
18.645
16.225
16.271
Famille de virus
Genome
PcClient
Hupigon
Scar
Buzus
Lipler
Magania
Refroso
Basun
Sasfis
Nb. 1er
semestre
2009
34.829
26.879
18.576
16.719
16.675
13.889
13.104
11.106
10.312
10.322
Famille de virus
Monder
Hupigon
Genome
Buzus
OnlineGames
Fraudload
Bifrose
Inject
Magania
Poison
Tableau 2 : dix familles de virus les plus actives, nombre de nouvelles variantes en 2009 et en 2010
Le tableau 2 répertorie les familles les plus actives au cours des 18 derniers mois.
Genome reste le chef de file, avec une augmentation de 73 % (entre le deuxième semestre 2009
et le premier semestre 2010). Genome génère en moyenne 640 nouvelles variantes chaque jour.
Le nombre de variantes de cette famille au cours du premier semestre 2010 correspond quasiment au nombre de virus de toute l’année (cf. tableau 1). Le deuxième du classement du semestre
dernier, PcClient, n’a pu se maintenir parmi les dix premiers. Les autres places sont occupées par
des familles déjà bien connues (cf. description ci-dessous). OnlineGames revient parmi les dix premiers du classement. Les familles du ver Palevo et du pirate de navigateur Startpage atteignent le
top 10 pour la première fois.
Genome
La famille des chevaux de Troie Genome allie des fonctionnalités telles que le téléchargement,
l’enregistrement de frappe ou le chiffrement des fichiers.
Hupigon
La porte dérobée Hupigon permet notamment à l’auteur de l’attaque de commander l’ordinateur
à distance, d’enregistrer les saisies au clavier, d’accéder au système de fichiers et d’activer la webcam.
Buzus
Les chevaux de Troie de la famille Buzus recherchent des données personnelles (cartes de crédit,
opérations bancaires en ligne, accès aux messageries électroniques et aux serveurs FTP) au niveau
6
du système infecté de leur victime, les données sont ensuite transmises à l’auteur de l’attaque. Ils
tentent également de limiter les paramètres de sécurité de l’ordinateur et de rendre ainsi le système de la victime vulnérable.
Refroso
Ce cheval de Troie a fait son apparition à la fin du mois de juin 2009. Il possède des fonctions de
porte dérobée et peut attaquer d’autres ordinateurs du réseau.
Scar
Ce cheval de Troie charge un fichier texte, qui permet de démarrer d’autres téléchargements de
programmes malveillants, tels que des téléchargeurs, des logiciels espions, des robots, etc.
Lipler
Le nom Lipler fait référence à une famille de téléchargeurs qui téléchargent d’autres logiciels malveillants à partir d’un site Web. Ils modifient également la page d’accueil du navigateur.
OnlineGames
Les membres de la famille OnlineGames volent essentiellement les données d’accès à des jeux en
ligne. Pour ce faire, ils recherchent certains fichiers et certaines entrées du registre et/ou installent
un enregistreur de frappe. Dans le dernier cas, le vol ne porte pas uniquement sur les données des
jeux. La plupart des attaques ciblent des jeux populaires en Asie.
Palevo
Le ver Palevo se propage par le biais des supports de données amovibles (autorun.inf) et via des
copies aux noms alléchants sur les sites de téléchargement de poste à poste, tels que Bearshare,
Kazaa, Shareaza, etc. Il propose également des liens vers des sites Web nuisibles via les messageries
instantanées (MSN essentiellement). Il injecte des fonctions de porte dérobée à l’Explorateur et
recherche des serveurs définis, sur commande.
Startpage
Cette famille de logiciels malveillants modifie la page d’accueil et souvent bien d’autres paramètres
du navigateur. Elle représente la variante la plus importante des pirates de navigateur.
Magania
Les chevaux de Troie de la famille Magania, originaire de Chine, sont spécialisés dans le vol de
données de comptes de jeux de la société de logiciels taïwanaise Gamania. Les exemplaires Magania sont généralement distribués dans un courrier électronique, dans lequel se trouve une archive
RAR compressée plusieurs fois. Lors de l’exécution du logiciel malveillant, une image de diversion
est affichée tandis qu’en arrière-plan, des fichiers sont stockés dans le système. Magania s’intègre
également à Internet Explorer par le biais de la bibliothèque de liens dynamiques et peut ainsi lire
le trafic Web.
7
Plate-forme : le .Net en progression
La majorité des logiciels malveillants reste dirigée vers Windows. Le pourcentage de fichiers exécutables de la catégorie des virus Windows (Win32) est en baisse (98,5 %), pour un nombre global
de fichiers en hausse de 9 %. Ceci s’explique notamment par une hausse des logiciels malveillants
destinée à la plate-forme .Net.
La présence de ces logiciels a été multipliée par 3,4. La plateforme .Net devient plus attrayante
parce qu’elle est livrée avec les nouveaux systèmes d’exploitation. Dans l’ensemble, la proportion
de programmes nuisibles pour Windows représente environ 99,4 %.
Le pourcentage de 0,6 % restant se rapporte aux deux tiers à des codes nuisibles de sites Web
(JavaScript, PHP, HTML, ASP, etc.) (soit 0,4 %). On enregistre un léger recul au niveau du nombre de
nouvelles variantes. Les variantes existantes sont toutefois très répandues.
Différence
1er
semestre
Nb. 1er
Nb. 2eme
2010/ 2eme Nb. 1er
semestre
semestre
semestre
semestre
Plate-forme
2010 Proportion 2009 Proportion 2009
2009 Proportion
Win32
1.001.902
98,5
%
915.197
99,0
%
+9
%
659.009
99,3 %
1
2
MSIL4
3
WebScripts
4
Scripts
5
Différence
1er
semestre
2010/ 1er
semestre
2009
+52 %
9.383
0,9 %
2.732
0,3 %
+243 %
365
0,1 %
+2471 %
3.942
0,4 %
4.371
0,5 %
-10 %
3.301
0,5 %
+19 %
922
0,1 %
1.124
0,1 %
-18 %
924
0,1 %
-0 %
NSIS 6
260
0,0 %
229
0,0 %
+14 %
48
0,0 %
+442 %
6
*ix 7
226
0,0 %
37
0,0 %
+511 %
66
0,0 %
+242 %
7
Java
225
0,0 %
31
0,0 %
+626 %
3
0,0 %
+7400 %
8
Mobile
212
0,0 %
120
0,0 %
+77 %
106
0,0 %
+100 %
5
Tableau 3 : cinq premières plates-formes en 2009 et en 2010
Les virus informatiques destinés aux autres plates-formes sont noyés dans cette masse. Il est cependant utile de mentionner que le nombre de logiciels malveillants pour les systèmes d’exploitation Unix a été multiplié par plus de six et que les logiciels malveillants pour Java ont été multipliés
par sept environ (par rapport au deuxième semestre 2009).
4
5
6
7
MSIL est le format intermédiaire dans lequel les applications .NET sont représentées dans un format indépendant de la plate-forme et
du langage de programmation.
Les scripts sont des scripts Batch ou Shell ou des programmes rédigés en langage VBS, Perl, Python ou Ruby.
NSIS est la plate-forme d’installation notamment utilisée pour installer le lecteur multimédia Winamp.
*ix désigne tous les dérivés Unix, tels que Linux, FreeBSD, Solaris, etc.
8
Bilan et tendances 2010
Le flot de logiciels malveillants est toujours aussi dense. Les portes dérobées, les Rootkits, les logiciels espions et consorts occupent une place indétrônable dans l’économie souterraine florissante.
Les auteurs de programmes nuisibles se tournent tout particulièrement vers les logiciels espions
dans le domaine de l’enregistrement de frappe, des opérations bancaires en ligne et des jeux en
ligne. Le vol de données est et reste l’une des principales fonctions des logiciels malveillants. Leur
commercialisation dans le cadre de forums souterrains est un fait établi.
Le nombre de nouvelles variantes de logiciels publicitaires décline de manière visible. Cela est sans
doute lié au fait qu’il est possible de gagner davantage d’argent avec des méthodes publicitaires
plus agressives, de faux programmes de protection anti-virus ou de faux logiciels de décodage et
de protection (ransonware).
Windows reste la principale cible des attaques. Mais les auteurs de logiciels malveillants sont de
plus en plus à la recherche d’alternatives.
Prévisions
Catégorie
Chevaux de Troie
Portes dérobées
Téléchargeurs/injecteurs
Logiciels espions
Logiciels publicitaires
Virus/vers
Outils
Trousses administrateur pirate
Exploits
Win32
WebScripts
MSIL
Mobile
*ix
Tendance
9
Événements du premier semestre 2010
Janvier 2010
04.01. Phénomène insolite : le site Web de la présidence espagnole de l’Union européenne
fait peau neuve au sens littéral du terme. Un pirate a, par le biais d’une attaque CSS (CrossSite Scripting), remplacé le portrait du premier ministre espagnol Zapatero par une photo
de Mister Bean, un personnage humoristique.
06.01. Phénomène insolite : un Britannique de 26 ans, furieux, envoie un message via Twitter,
qui le mène directement en prison une semaine plus tard ! « You‘ve got a week and a bit to
get your s*** together, otherwise I‘m blowing the airport sky high », telle était la « menace »
qu’il a formulée à l’aéroport britannique Robin Hood. Il craignait en effet que son vol prévu
pour le 15 janvier soit annulé en raison du mauvais temps. Ce tweet lui a valu d’être entendu
par la police pendant sept heures, de perdre son travail et d’être interdit à vie d’accès à
l’aéroport de Doncaster. La communauté Internet a gentiment qualifié Paul Chambers de
Twidiot. Chambers lui-même ne comprend pas grand-chose à toute cette agitation.
12.01. L’Iranian Cyber Army s’empare du plus important site de recherche chinois, Baidu, en
modifiant des entrées du système de noms de domaine, tout en laissant derrière elle un
message de revendication politique. En décembre 2009, elle avait paralysé, également en
modifiant des entrées du système de noms de domaine, le service de microblogage Twitter
pendant quelques heures.
14.01. L’exploitant du site Internet opendownload.de a perdu en deuxième instance devant le tribunal de grande instance de Mannheim, et ne dispose plus d’aucune possibilité de pourvoi
en cassation. Début 2008, un utilisateur avait reçu une
facture du site alors que l’obligation de paiement n’est pas identifiable et perceptible au
point que le consommateur moyen soit bien informé des coûts générés, selon la décision
du tribunal de grande instance de Mannheim. Le client a refusé le paiement par le biais
de son avocat et a réclamé juridiquement le recouvrement des frais d’avocat. La centrale
des consommateurs du Land de Rhénanie-Palatinat avait déjà dénoncé les méthodes douteuses du site fin 2008.
14.01. Un ancien administrateur du site Web souterrain DarkMarket a été condamné à dix ans
de prison. Renukanth Subramaniam, un Londonien de 33 ans, s’occupait du site Web en collaboration avec un agent du FBI travaillant sous couverture. La police fédérale américaine a
créé le site et mené par ce biais des enquêtes dans les cercles des cybercriminels.
19.01. Le blog du site Web netzpolitik.org révèle que des données de l’organisateur de voyages
pour la jeunesse Ruf ont été volées lors d’une cyberattaque. Ce sont surtout les données
relatives aux membres de la communauté de jeunes de l’organisateur de voyages qui sont
tombées dans les mains des pirates. Selon un communiqué du 21 janvier du site netzpolitik.
org, la société Ruf était informée depuis trois ans déjà de la présence de failles de sécurité,
avertissements qu’elle avait apparemment ignorés.
10
21.01. Microsoft publie un correctif de sécurité en marge du cycle normal. Le correctif d’urgence
devenait indispensable : le code d’exploit à l’origine des attaques dont ont souffert Google
et d’autres sociétés en décembre 2009 avait été publié sur Internet en début de semaine. Le
correctif répare au total huit failles de sécurité.
25.01. La cyberattaque lancée sur Google et d’autres entreprises, qui a fait beaucoup de vagues
début janvier, a notamment été possible grâce à l’utilisation des réseaux sociaux. Les
experts ont pu déterminer que les pirates ont trouvé
des personnes à des positions clés, les ont espionnées
par le biais du Web 2.0 et ont piraté les comptes d’amis
des victimes. Ils ont ensuite envoyé, en tant qu’amis,
des messages avec des liens vers des sites Web infectés et ont ainsi pu accéder aux réseaux des entreprises.
Le groupe envisage de renoncer au marché chinois et
Illustration : G Data 2009
de fermer le site google.cn.
29.01. L’Autorité des marchés des émissions (Deutsche Emissionshandelsstelle, DEHSt)
s’exprime sur les attaques par hameçonnage survenues hier : les escrocs ont envoyé un
courrier électronique prétendument rédigé par l’Autorité des marchés des émissions et qui
invitait le destinataire à se connecter à un faux site Web, dans le but, ironique, de se protéger du piratage. Les coupables ont, grâce aux données d’accès volées, transmis des droits
d’émission, essentiellement au Danemark et en Grande-Bretagne et se seraient ainsi emparés de trois millions d’euros. Conclusion : les attaques par hameçonnage ciblées peuvent
être très lucratives.
Février 2010
02.02.Mots de passe Twitter réinitialisés : les responsables du service de microblogage Twitter
ont enregistré des attaques au niveau de leurs utilisateurs qui auraient été effectuées à l’aide
de pages Torrent. Il s’agit essentiellement d’utilisateurs qui utilisaient les mêmes données
de connexion sur différentes plates-formes et qui étaient donc facile de pirater. Les mots de
passe doivent être différents pour chaque compte. De légères variations à un mot de passe
de base suffisent généralement.
03.02.Les sites Web de célèbres portails d’informations en ligne allemands ont été les victimes
de malvertising. Golem.de, Handelsblatt.com et Zeit.de proposaient par intermittence aux
visiteurs de leurs sites Web un code nuisible par le biais de bannières publicitaires infectées.
Le risque d’infection n’est plus limité aux sites Internet les plus obscurs. Les systèmes de
protection anti-virus fiables doivent s’assurer de l’absence de code nuisible dans le contenu
des sites Web.
03.02.Edwin Andrew Pena a plaidé coupable, devant le tribunal de New Jersey, de ventes illégales de minutes de communications Voix sur IP entre 2004 et 2006, ventes qui lui
auraient permis de gagner environ 1 000 000 de dollars. Pena infiltrait les paquets de
données au niveau des serveurs de prestataires de services de télécommunications, dont la
protection reposait uniquement sur les mots de passe standard prédéfinis.
11
09.02.Cinq jours après un message concernant deux modules complémentaires infectés, Mozilla doit faire marche arrière : seul un des programmes complémentaires est infecté. Une
analyse effectuée ultérieurement a en effet indiqué que l’outil prétendument infecté était
en fait un faux positif.
09.02.Un outil qui supprime un cheval de Troie mais en installe un nouveau sur l’ordinateur :
„Kill Zeus est le nom du programme du Spy Eye Toolkit qui permet certes de supprimer le
cheval de Troie Zeus mais qui a également des objectifs plus nuisibles, comme récupérer les
données de l’utilisateur et les mots de passe à son compte. Le Zeus-Toolkit circule sur les
forums souterrains depuis fin 2009 et s’échange pour une valeur d’environ 500 dollars.
09.02.Un scareware néerlandais apparaît sur la toile. Même si l’interface utilisateur est bourrée
de fautes d’orthographe, l’existence d’une version non anglaise est perçue comme un élargissement clair en direction des pays non anglophones. Ce scareware était proposé dans
19 langues au total.
10.02. Le gouvernement australien a été paralysé par des attaques par saturation du groupe
d’activistes Anonymous. Les attaques ont été décrites comme de l’hacktivisme politique
et ont été fermement condamnées par le gouvernement et par les opposants à la censure.
Motif de l’agitation : l’Australie envisage de censurer des contenus pornographiques en
ligne, ce qui fait redouter aux opposants à la censure un filtrage exagéré.
17.02. Phénomène insolite : un groupe de jeunes néerlandais a créé le site PleaseRobMe.com
pour attirer l’attention sur le risque que représentent les messages d’absence inconsidérés
au niveau des réseaux sociaux. Les utilisateurs
doivent réfléchir au fait que leurs tweets et leurs
messages depuis leur lieu de vacances sont
accessibles à tous et tous ne sont pas forcément
des amis. Les voleurs savent ainsi quand vous
êtes loin de chez vous et profitent de l’occasion.
La rumeur veut que les assureurs envisagent
Capture d’écran 1 : Source : pleaserobme.com
d’augmenter la prime d’assurance si les clients
utilisent des services de géolocalisation.
17.02. Microsoft explique que le rootkit Alureon est responsable de l’écran bleu figé sur de
nombreux ordinateurs Windows XP et quelques ordinateurs Windows 7. Des pannes de
protection générales sont apparues suite à la mise à jour système MS10-015 de la semaine
dernière. Les ordinateurs infectés par Alureon avant la mise à jour sont concernés.
23.02.Microsoft indique avoir mené une bataille acharnée et
jusqu’ici unique en son genre contre l’un des dix plus
grands réseaux de zombies des États-Unis, Waledac.
L’entreprise demande l’autorisation de la justice de
mettre hors ligne 277 domaines Internet .com dont
on suppose qu’ils ont une relation avec le réseau de
zombies Waledac. Les ordinateurs zombies infectés
perdraient ainsi le contact avec le serveur de comCopyright © 2010 G Data Software AG
12
mande. On estime que le réseau de zombies Waledac envoie plus de 1,5 milliard de courriers électroniques de pollupostage par jour.
Mars 2010
01.03. Il a été communiqué que, dans le cadre de l’Operation Aurora menée contre Google et
plus de cent autres entreprises, les attaques ont peut-être également eu lieu par le biais de
fichiers PDF infectés. Certains ordinateurs faisant l’objet d’une expertise légale contiennent des documents PDF nuisibles qui pourraient avoir un rapport avec l’attaque. Les
fichiers présentent des similitudes avec les traces détectées jusqu’à présent, au niveau de
l’heure, de l’origine et du type. Dans ce contexte, le
fabricant de puces Intel a fait savoir dans son rapport financier qu’il avait été confronté à
un incident de sécurité ingénieux. L’entreprise n’a cependant donné aucune indication
concernant la dimension ou les répercussions de l’incident.
03.03.Les autorités espagnoles ont fait savoir qu’elles ont arrêté trois exploitants présumés du
réseau de zombies Mariposa (en espagnol, papillon en français). Les hommes, de nationalité espagnole, sont âgés de 25 à 31 ans. Le réseau de zombies leur a essentiellement
permis de voler des données d’opérations bancaires en ligne et de cartes de crédit. Selon les
estimations, le réseau s’étend à plus de 13 millions d’ordinateurs dans 190 pays.
06.03.Un grand nombre de comptes Twitter ont été piratés et inondés de pollupostage pour
un prétendu régime. « Check out this diet I tried, it works! » et « I lost 20 lbs in 2 weeks »
servaient de phrases d’accroche. Cela n’est pas encore confirmé mais il est probable que le
piratage des comptes ait eu lieu par le biais d’attaques en force (attaques par dictionnaire)
menées sur les interfaces (de programmation) de Twitter.
07.03. Une enquête de GlobeScan effectuée pour BBC World Service indique que quasiment 80 %
de la population considère l’accès à Internet comme un droit fondamental. La majorité
des 28 000 personnes interrogées dans 26 pays, dont 14 306 sont déjà des utilisateurs d’Internet, souhaite que cet accès soit inscrit dans la réglementation comme dans des pays tels
que la Finlande et l’Estonie.
09.03.Twitter lance une nouvelle mesure de sécurité concernant les liens envoyés. Tous les liens
envoyés via Twitter sont soumis à une vérification des nuisances possibles (hameçonnage
et autres attaques) avant expédition. Cela permet de détecter, d’intercepter et d’empêcher
la diffusion de liens nuisibles par le biais du service Twitter.
10.03. Les utilisateurs des navigateurs Internet Explorer 6 et 7 sont dans la ligne de mire des
pirates. Microsoft publie un avertissement de sécurité concernant l’exploit 0-Day. Les
pirates peuvent, dans certaines circonstances, exécuter des commandes nuisibles sur les
ordinateurs PC attaqués. Internet Explorer 7 est en pleine phase de distribution. Les experts
pensent donc qu’après la publication du code d’exploit, la faille de sécurité sera largement
exploitée.
11.03. Le nombre de serveurs de commande du réseau de zombies ZeuS augmente de nouveau.
L’initiative suisse ZeuS Tracker a enregistré une baisse importante du nombre de serveurs de
commande au cours des deux derniers jours (de 249 à 104), qu’elle impute à la désactivation
13
par intermittence du prestataire en amont Troyak-as. Le nombre de serveurs est de nouveau de 191 aujourd’hui.
12.03. Le rapport annuel officiel des Internet Crime Complaint Centers (ou IC3) enregistre une
augmentation des plaintes. On comptait 336 655 incidents en 2009, ce qui représente
une augmentation de 22,3 % par rapport à 2008. L’essentiel des plaintes est déposé pour
des escroqueries Internet avec des dommages financiers. Les pertes financières s’élèvent
à 559,7 millions de dollars. L’IC3 est le fruit de la collaboration entre le FBI et le National
White Collar Crime Center et centralise les plaintes liées à la cybercriminalité aux États-Unis.
16.03. Deux élèves d’un lycée d’Heeswijk-Dinther (Pays-Bas) ont été renvoyés pour avoir accédé
aux comptes de messagerie électronique de 19 professeurs à l’aide d’enregistreurs de
frappe. Ils volaient les documents des examens et communiquaient les informations à leurs
amis.
19.03. Une faille de sécurité critique du navigateur Firefox 3.6 a poussé le Bürger-CERT, un
projet de l’office fédéral allemand pour la sécurité des techniques d’information, à émettre
un avertissement. Les utilisateurs étaient invités à ne plus utiliser la version 3.6 de Firefox.
Mozilla a réagi rapidement et a proposé dès le 23 mars un correctif pour la faille de sécurité
CVE-2010-1028.
22.03.L’opérateur de téléphonie mobile Vodafone révèle que quasiment 3 000 appareils ont été
livrés avec une carte mémoire infectée. Trois semaines auparavant, lorsqu’un analyste
spécialisé dans les logiciels malveillants a détecté un code nuisible après l’achat d’un smartphone, Vodafone avait indiqué qu’il s’agissait d’une exception absolue. L’incident serait
limité à l’Espagne. Les clients concernés ont été informés par courrier et des outils permettant de supprimer le logiciel nuisible ont été mis à disposition en téléchargement. Il est utile
de s’assurer de l’absence de virus sur les nouveaux gadgets.
24.03. L’organisation Messaging Anti-Abuse Working Group (MAAWG) publie les résultats d’une
étude concernant le comportement des utilisateurs en matière de sécurité des courriers
électroniques. L’étude menée en Amérique et en Europe de l’Ouest indique que 43 % des
3 716 personnes interrogées ouvrent les courriers électroniques considérés comme du pollupostage, 11 % d’entre elles cliquent même sur les liens inclus dans ces courriers. 8 % des
personnes interrogées considèrent qu’elles ne pourraient en aucun cas être victimes d’une
infection de zombies.
26.03.Albert Gonzalez a été condamné à vingt ans de prison aux États-Unis. Le juge a qualifié
cet homme de 28 ans comme la plus grande et la plus onéreuse représentation du piratage informatique dans l’histoire des États-Unis. Gonzales a volé, avec deux conspirateurs
russes, plus de 130 millions de données relatives à des cartes bancaires et des cartes
de crédit.
29.03. L’expert en sécurité Didier Stevens utilise une fonction PDF pour lancer les programmes
de son choix lors de l’ouverture d’un document PDF. La désactivation de la fonction JavaScript n’assure aucune protection dans ce cas. Foxit Reader déclenche la publication d’une
mise à jour du code sans demander l’autorisation de l’utilisateur, Adobe Reader affiche un
14
message d’avertissement. Il est cependant possible de modifier le texte de la fenêtre d’avertissement, ce qui ouvre des possibilités en matière de piratage psychologique.
30.03.Une application anti-virus Facebook se
propage au sein du réseau social. Il s’agit
en réalité d’une tentative d’escroquerie et
non d’une application de protection dédiée
au premier acteur du secteur. Après installation de la fausse application, celle-ci
affiche 20 amis dans le but d’attirer d’autres Capture d’écran 2 : faux anti-virus Facebook
personnes dans le piège.
Source : SecurityWatch Blog
31.03. Facebook fait de nouveau les gros titres : le réseau géant a prétendument divulgué les
adresses électroniques d’environ 400 millions d’utilisateurs sur leur profil pendant une
trentaine de minutes. Les utilisateurs ne pouvaient ni supprimer, ni masquer leur adresse.
31.03. Nous apprenons aujourd’hui que le site Web de l’office fédéral de l’environnement
allemand a propagé le cheval de Troie ZeuS entre le 19 et le 22 mars. Les responsables de
l’infiltration du site ne sont officiellement pas connus.
Avril 2010
01.04. La Belgique bénéficie d’un nouveau centre d’expertise en matière de cybercriminalité.
L’Université de Louvain collabore pour ce faire avec d’autres établissements académiques,
le gouvernement belge, la Commission européenne et des entreprises privées. L’objectif du
centre est de développer des mesures de formation adaptées et d’échanger des connaissances.
15.04. Deux jours après la publication de détails au sujet d’une faille de sécurité dans la boîte à
outils de développement de Java, l’exploit 0-Day Java semble s’être perdu dans la nature.
Tavis Ormandy et Rubén Santamarta ont publié des informations détaillées concernant la
faille de sécurité. Sun a rapidement décidé de procéder à une mise à jour en marge du
cycle habituel, devant le nombre croissant de communiqués prévoyant une vague d’infection. La version 6u20 est disponible en téléchargement depuis aujourd’hui et corrige la
faille.
15.04. Le téléchargement de faux programmes informatiques Hentai sur des réseaux de poste
à poste a permis la propagation d’un virus informatique japonais. Le virus récupère les
informations des ordinateurs infectés et les publie sur une page d’accueil. Les informations
regroupent le nom de la victime, les favoris de IE, l’historique du navigateur, etc. La victime
reçoit un courrier électronique dans lequel elle est invitée à payer 1 500 yens pour que ses
données soient supprimées du site Web.
15.04. La « Nederlandse Spoorwegen », la société ferroviaire néerlandaise, se bat contre la fraude. Depuis le mois d’août 2009,
la société remplace tous ses distributeurs de billets après avoir
découvert en 2009, 467 appareils de fraude sur des distributeurs.
15
16.04.Un collaborateur de la police de Gwent (Royaume-Uni) a envoyé un tableau Microsoft
Excel explosif avec les données personnelles et des informations concernant le casier
judiciaire de 10 006 personnes. La liste est parvenue, grâce à l’activation de la fonction de
remplissage automatique dans le programme de messagerie électronique et un manque
d’attention, dans les mains des journalistes du The Register sous un format non chiffré et
non protégé. La liste a été supprimée du système des journalistes en coopération avec la
police et n’a pas été publiée.
19.04. Le pirate néerlandais Woopie, Kevin de J., âgé de 22 ans, a été arrêté. Il est accusé du piratage des sites Web CrimeClub et ExtremeClub et du vol et de la publication de scripts de la
base de données des administrateurs. Il semble qu’il ait paralysé ces sites par des attaques
par saturation. Son site Web, woopie.nl, a été confisqué par la Team High Tech Crime, une
unité spécialisée de la police. C’est toutefois la première fois qu’un site Web est saisi aux
Pays-Bas.
21.04. Depuis aujourd’hui, Facebook propose une modification importante au niveau des paramètres de confidentialité. La fonction, appelée Personnalisation instantanée, permet
aux gestionnaires de sites Web d’accéder au profil public des utilisateurs de manière à leur
proposer des sites personnalisés. La fonction Personnalisation instantanée doit faire l’objet
d’un désabonnement. En d’autres termes, elle s’applique à tous les utilisateurs à moins
que l’utilisateur s’y oppose. Cette fonction est un nouveau pas en direction de l’utilisateur
transparent et peut être utilisée à des fins de marketing/de publicité ciblée, mais également par des voleurs d’identité.
22.04.Phénomène insolite : en avril 2010, quasiment 900 domaines .be ont déjà été piratés
selon les statistiques de zone-h.org. Le blog Belsec indique que le nombre de piratages du
mois est anormalement élevé. L’utilisation de l’hébergement partagé et le regroupement
de nombreux sites Web sur un même serveur Web sont considérés comme des causes
possibles.
24.04.Blippy est un site communautaire qui répertorie les achats de chacun en ligne. Les achats
effectués, prix et description des articles achetés inclus, sont affichés au niveau du réseau
sous forme de nouvelles brèves. Les données relatives aux cartes de crédit de cinq
membres du service Web 2.0 ont été publiées sur Google. Selon Blippy, il s’agit d’un
incident isolé, lié à la phase de test bêta du service.
27.04. Le projet Google Street View essuie de nouveau les critiques en Allemagne. Sur son blog
officiel (Google Policy Europe Blog), le prestataire de services Internet Google Details fournit des explications concernant les données collectées par les véhicules Street View. Selon
les informations fournies, l’identifiant SSID et l’adresse MAC font partie des données de
réseau local sans fil collectées. Peter Schaar, responsable de la CNIL allemande, demande la
suppression immédiate des données et l’arrêt de la collecte des données à l’avenir. Google
déclare que les données utiles (les paquets de données envoyés) ne sont pas collectées ou
enregistrées. Ces informations ont été modifiées le 14 mai 2010.
29.04.Un fraudeur bulgare a été condamné à quatre ans de prison pour des fraudes réalisées
à Bruges, à Anvers et à Bruxelles. Il a été condamné pour interruption du trafic bancaire et
pour appartenance à une organisation criminelle internationale.
16
Mai 2010
04.05.Deux des responsables présumés du réseau de zombies Mariposa, Netkairo et Ostiator,
ont tenté de se faire embaucher dans une société espagnole spécialisée dans les
logiciels de sécurité. Le directeur de la société déclare : « Je ne sais pas ce qu’ils ont en tête
mais utiliser le réseau Mariposa comme carte de visite n’est pas d’une grande aide, cela a
plutôt l’effet inverse ». Lorsque la société a affirmé ne pas être intéressée par l’offre, un des
deux responsables du réseau a menacé de mettre à jour les failles de sécurité de ses logiciels.
04.05.Le portail Internet netzpolitik.org a de nouveau annoncé un usage massif des données de
la plate-forme Web 2.0 allemande réservée aux adolescents : SchülerVZ. Après les derniers
incidents, les exploitants du portail VZ ont investi dans la sécurité des données et ont également obtenu une certification de l’organisme TÜV pour la fonctionnalité et la sécurité
des données. Un étudiant est cependant parvenu à collecter les données de plus de deux
millions d’utilisateurs, la plupart mineurs. Son robot fonctionnait à la fois pour les platesformes MeinVZ et StudiVZ. Le programmeur avait pourtant mis l’accent sur la protection
des données des mineurs. Selon ses propres indications, le site SchülerVZ compte plus de
5,8 millions de membres en mai 2010.
05.05.Une nouvelle faille de sécurité de Facebook fait sensation : l’option d’affichage en
aperçu du profil, disponible dans les paramètres de confidentialité, ouvre les discussions en
ligne et les demandes de contact de la personne sélectionnée pour l’affichage en aperçu.
Facebook a réagi et mis la fonction de conversation hors ligne. 14.05. Les informations données fin avril concernant l’étendue des données de réseau local sans
fil collectées par le biais des véhicules Google Street View se sont avérées fausses. Dans
une entrée de son blog, Google change de position : Alan Eustace écrit que des échantillons de données ont été collectés à tort à partir de réseaux Wi-Fi publics (non protégés
par des mots de passe, par exemple). « En outre, compte-tenu des doutes émis, nous avons
décidé que le mieux est de veiller à la collecte des données de réseau Wi-Fi par le biais de
nos véhicules Google Street View exclusivement ».
17.05. Environ 200 soldats de l’armée israélienne ont été publiquement dupés par la milice
shiite libanaise au sein du réseau social Facebook. Les instigateurs du profil, cachés derrière
un nom israélien, Reut Zukerman, et une photo de femme, ont soutiré des informations
confidentielles aux militaires. Les militaires avaient été mis en garde depuis environ un an
du risque que présentent les connaissances sur Internet.
18.05. La société espagnole UPCnet propose des estimations alarmantes, selon lesquelles les organisations publiques espagnoles font l’objet d’environ 5 400 cyberattaques par an.
Ces chiffres ont été établis à l’aide du programme SIGVI de l’Université technique de Catalogne, qui enregistre entre 12 et 15 attaques par jour, rien que pour l’Université.
19.05. Un des plus grands forums criminels souterrains a été piraté : „Carders.cc est une plateforme essentiellement consacrée aux cartes de crédit. Les pirates se seraient également
attaqués au forum du 1337 Crew en novembre 2009. Le butin des pirates : une base de
données avec des adresses électroniques, des adresses IP, etc.
17
24.05. Aza Raski, un collaborateur de Mozilla Labs, publie une démonstration de faisabilité
sur ce qu’il appelle le tabnabbing. Avec l’aide de JavaScript, l’icône de favori et le contenu
de la page d’un onglet de navigateur ouvert sont discrètement modifiés après un certain
temps. La page modifiée peut alors imiter une page de connexion quelconque en faisant
croire à l’utilisateur qu’il a lui-même affiché cette page. L’attaque par hameçonnage est un
succès si l’utilisateur saisit ses données de connexion.
Juin 2010
04.06.Adobe a fait part, sur sa page Web, d’une faille de sécurité critique, qui concerne tous
les systèmes d’exploitation (CVE-2010-1297), pour Adobe Flash Player 9.0.277.0 et 10.x,
Adobe Reader 9 et Acrobat 9 et 8. Les ordinateurs sont infectés par des fichiers Flash spécialement préparés.
07.06. La police japonaise a arrêté deux hommes pour vol de données et chantage, dans le cadre
de la diffusion d’un virus informatique par le biais de jeux Hentai. Le virus collectait les
informations personnelles de la victime présentes sur l’ordinateur et les publiait sur une
page Web. Les deux hommes travaillaient ensemble depuis fin 2009, ont infecté au moins
5 000 ordinateurs et ont soutiré plus de 3,8 millions de yens (environ 34 000 euros).
10.06.Microsoft a annoncé sur son site Web l’existence d’une faille de sécurité dans le Centre
d’aide et d’assistance de Microsoft, utilisée sous certaines versions de Windows XP et
Windows Server 2003 pour diffuser un code nuisible. L’affichage des documents d’aide
peut ouvrir la porte à un pirate, qui peut alors lancer des programmes
sur l’ordinateur de la victime ou télécharger des logiciels malveillants
par le biais de la faille de sécurité.
25.06.Une vague de fausses confirmations de commande Amazon.com
et Buy.com fait son apparition dans les boîtes de réception. Le site Web
proposé en lien contient un code nuisible et télécharge un faux logiCapture d’écran 3 Source : Facebook.com
ciel de protection anti-virus sur
l’ordinateur de la victime. La particularité de ce scareware : il peut lire et afficher les mots
de passe Internet Explorer 6 enregistrés.
28.06.Selon une enquête représentative de l’association fédérale allemande Bitkom, 41 % des
citoyens allemands ne modifient pas les mots de passe de leurs comptes en ligne, de leur
boîte de messagerie électronique, etc. de leur propre
chef. Les femmes sont encore moins actives lorsqu’il
s’agit de modifier leurs données de connexion : 45 %
d’entre elles ne les changent jamais contre 38 % des
hommes. La raison la plus souvent invoquée pour le
manque d’actualisation est la peur d’oublier son
mot de passe. Ce qui facilite le travail des voleurs de
Capture d’écran 4 : fausse commande Amazon
données.
18

2010 06 FR GData Malware Report

Transcription

Documents pareils

CULTURE NUMÉRIQUE UE 10 - PROJET DE L - ged

Techniques d`expression, persuasion orale

IUT B Tourcoing

RESSOURCES HUMAINES

Anglais

Lycée Emilie du Chatelet

IUT B Tourcoing

Hélène Veujoz Licence LLCER ANGLAIS 2015

DUT Techniques de Commercialisation

Chiffre d`affaires

Livre Blanc - Tendances 2007 et perspectives 2008

G DATA Whitepaper 1er semestre 2011 Malware Report

Bulletin semestriel de janvier à juin 2009