Baromètre annuel sur la cyber-criminalité en 2008 par Kaspersky Lab. Principales statistiques pour 2008

  1. Développement des cyber-menaces en 2008
  2. Principales statistiques pour 2008
  3. Courrier indésirable en 2008

A la différence de nos rapports statistiques annuels et semi-annuels antérieurs, le présent rapport est composé principalement de données obtenues et traitées à l’aide de Kaspersky Security Network. KSN est une des principales nouveautés introduites dans la gamme de produits pour particuliers 2009 et à l’heure actuelle, nous préparons son introduction dans la gamme de produits pour entreprises de Kaspersky Lab.

Kaspersky Security Network permet à nos experts de découvrir en temps réel les nouveaux programmes malveillants pour lesquels il n’existe pas encore de moyen de détection à l’aide de signatures ou d’analyse heuristique. KSN permet d’identifier les sources de propagation des programmes malveillants sur Internet et d’en bloquer l’accès pour les utilisateurs.

De la même manière, KSN permet de réagir très rapidement aux nouvelles menaces. A l’heure actuelle, nous pouvons bloquer l’exécution d’un nouveau programme malveillant sur les ordinateurs des utilisateurs de KSN quelques dixièmes de seconde après la prise de décision sur son caractère nocif et cela, sans le recours à la mise à jour traditionnelle des bases antivirus.

Programmes malveillants sur Internet (attaques via Internet)

Le courrier électronique a cédé la place aux sites Web en tant que vecteur de propagation des programmes malveillants. Les individus mal intentionnés utilisent les sites Web pour l’infection initiale des ordinateurs et pour le téléchargement de nouvelles versions des programmes malveillants. Ils utilisent pour ce faire des hébergeurs peu scrupuleux tels que McColo et Atrivo ou le tristement célèbre RBN ainsi que des sites légitimes compromis.

L’écrasante majorité des attaques réalisées via Internet exploite la technologie des téléchargements à la dérobée : l’infection de l’ordinateur a lieu à l’insu de l’utilisateur pendant l’utilisation normale d’Internet. De nombreux sites compromis établissent une connexion dissimulée vers d’autres ressources où se trouve le code malveillant exécuté chez l’utilisateur, en général via des vulnérabilités dans le navigateur ou les modules externes du navigateur (par exemple ActiveX, RealPlayer, etc).

A l’aide de Kaspersky Security Network, nous pouvons compter et analyser toutes les tentatives d’infection dont sont victimes nos clients lorsqu’ils utilisent Internet.

Top 20 des programmes malveillants sur Internet

A la fin de l’année 2008, KSN avait enregistré 23 680 646 attaques contre les clients de Kaspersky Lab ayant abouti à une infection. Parmi tous les programmes malveillants impliqués dans ces attaques, nous avons identifié les 100 programmes les plus actifs. Ils ont été responsables de 3 513 355 attaques.

Chacun des programmes dans cette centaine fut recensé plus de 7 000 fois. Les programmes figurant dans le Top 20 furent responsables de plus de 59 % des incidents, ce qui permet de les considérer comme les programmes les plus répandus sur Internet en 2008 :

Classement Nom Nombre d’attaques Pourcentage
par rapport au
Top 100
1 Heur.Trojan.Generic 248 857 7,08%
2 Trojan-Downloader.Win32.Small.aacq 228 539 6,50%
3 Trojan-Clicker.HTML.IFrame.wq 177 247 5,04%
4 Exploit.JS.RealPlr.nn 157 232 4,48%
5 Trojan-Downloader.SWF.Small.ev 135 035 3,84%
6 Trojan-Clicker.HTML.IFrame.yo 121 693 3,46%
7 Exploit.Win32.Agent.cu 120 079 3,42%
8 Trojan-Downloader.HTML.IFrame.wf 107 093 3,05%
9 Exploit.SWF.Downloader.hn 85 536 2,43%
10 Trojan-Downloader.Win32.Small.abst 78 014 2,22%
11 Trojan-Downloader.JS.Agent.dau 73 777 2,10%
12 Exploit.Win32.PowerPlay.a 70 749 2,01%
13 Exploit.JS.RealPlr.nl 70 082 1,99%
14 Exploit.SWF.Downloader.ld 69 804 1,99%
15 Trojan-Downloader.JS.IstBar.cx 68 078 1,94%
16 Trojan-GameThief.Win32.Magania.gen 66 136 1,88%
17 Trojan-Downloader.JS.Iframe.yv 62 334 1,77%
18 Trojan.HTML.Agent.ai 60 461 1,72%
19 Trojan-Downloader.JS.Agent.czf 41 995 1,20%
20 Exploit.JS.Agent.yq 40 465 1,15%

La première place est occupée par un nouveau cheval de Troie identifié par analyse heuristique et pour lequel il n’existe pas de signature exacte. En 2008, une seule de ces analyses heuristiques a permis d’arrêter près de 250 000 attaques contre nos clients.

Si l’on tient compte uniquement des signatures, alors Trojan-Downloader.Win32.Small.aacq fut le programme malveillant le plus répandu et le plus actif en 2008.

Nous retrouvons 7 codes d’exploitation dans le Top 20 qui exploitent presque tous des vulnérabilités de RealPlayer et Flash Player (RealPlr et SWF). Ces vulnérabilités, découvertes en 2008, furent un des principaux outils utilisés par les individus malveillants pour infecter les utilisateurs.

Dix programmes malveillants sur vingt sont en JavaScript sous la forme de balises HTML, ce qui souligne une fois de plus combien il est utile de disposer d’un logiciel antivirus Internet capable d’analyser les scripts exécutés. Les différents modules externes proposés pour différents navigateurs et capables de bloquer l’exécution des scripts sans intervention de l’utilisateur (par exemple, NoScript pour Firefox) sont des instruments efficaces dans la lutte contre ces menaces. Nous conseillons vivement l’utilisation de ces solutions en plus d’une protection antivirus traditionnelle. Outre le fait qu’elles réduisent le risque d’infection, elles offrent une protection contre les autres types d’attaques sur Internet, par exemple contre les nombreuses vulnérabilités XSS.

Top 20 des pays dont les ressources hébergent les programmes malveillants

Comme nous l’avons déjà indiqué plus haut, les individus mal intentionnés utilisent les services d’hébergeurs peu scrupuleux ou des sites compromis pour héberger les programmes malveillants et les codes d’exploitation.

23 508 073 attaques, enregistrées par nos services en 2008, ont été réalisées au départ de ressources situées dans 126 pays (il a été impossible de définir l’origine territoriale de 172 573 attaques supplémentaires) : la cybercriminalité est bel et bien un phénomène international et à l’heure actuelle, il existe dans presque tous les pays du monde des sites Internet qui servent de sources aux programmes malveillants.

Toutefois, plus de 99 % des attaques que nous avons enregistrées ont été réalisées depuis des ressources situées dans vingt pays. Nous n’avons pas recherché le coefficient « d’infection » sur la base du nombre de ressources Internet existantes dans ces pays mais ceux qui connaissent ces chiffres pourront facilement dresser un classement séparé des pays comptant le plus grand nombre de ressources infectées sur la base des statistiques fournies ci-après :

Classement Pays Nombre
d’attaques
Pourcentage
du nombre
total d’attaques
1 CHINA 18 568 923 78,990%
2 UNITED STATES 1 615 247 6,871%
3 NETHERLANDS 762 506 3,244%
4 GERMANY 446 476 1,899%
5 RUSSIAN FEDERATION 420 233 1,788%
6 LATVIA 369 858 1,573%
7 UNITED KINGDOM 272 905 1,161%
8 UKRAINE 232 642 0,990%
9 CANADA 141 012 0,600%
10 ISRAEL 116 130 0,494%
11 LITHUANIA 110 380 0,470%
12 SOUTH KOREA 461 67 0,196%
13 HONG KONG 44 487 0,189%
14 ESTONIA 41 623 0,177%
15 SWEDEN 40 079 0,170%
16 FRANCE 31 257 0,133%
17 ITALY 29 253 0,124%
18 BRAZIL 25 637 0,109%
19 PHILIPPINES 19 920 0,085%
20 JAPAN 16 212 0,069%

La Chine est devenu le leader absolu en 2008 en termes d’attaques lancées depuis des ressources présentes dans le pays.

Près de 80 % de tous les programmes malveillants et des codes d’exploitation dont l’activité a été bloquée au moment de leur insertion sur les ordinateurs de nos clients se trouvaient sur des serveurs chinois. Ceci correspond en tout point à d’autres statistiques en notre possession : plus de 70 % des programmes malveillants sont d’origine chinoise.

Une partie des ressources Internet chinoises sont utilisées par les individus mal intentionnés d’autres pays car les données d’enregistrement auprès des hébergeurs chinois ne sont vérifiées par personne et car les autorités judiciaires des autres pays ne disposent d’aucun moyen pour fermer ces sites.

La présence de petits pays tels que l’Estonie, la Lettonie et la Lituanie dans le Top 20 s’explique par les liens étroits qui existent entre les milieux criminels locaux et leurs « homologues » russes et ukrainiens. Les pays baltes continuent d’être une des régions les plus pratiques pour la cybercriminalité. Par le passé, les cybercriminels russes ont souvent utilisé les banques des pays baltes pour blanchir l’argent obtenu à l’aide de cartes de crédit volées ou d’autres activités criminelles informatiques. Le thème de l’enregistreur de domaine EstDomains, offrant ses services à des milliers de cybercriminels, a été largement abordé à la fin de l’année 2008.

Ces faits contredisent les discussions de ces derniers temps sur le rôle de leader joué par l’Estonie en Europe dans la lutte contre les cybermenaces et sur l’expérience de ce pays dans la lutte contre les attaques de réseau.

Top 20 des pays dont les habitants furent victimes d’attaques en 2008

Il existe un autre indicateur tout aussi important : les pays dont les internautes ont été victimes des attaques.

En 2008, les ordinateurs et les habitants de 215 pays et régions du monde ont été menacés d’infection près de 23 680 646 fois. Ceci représente le monde entier, sans exagération. Les habitants de tous les pays, y compris les plus petits ou les plus isolés comme la Micronésie (15 attaques), Kiribati (2 attaques) ou les îles Caïman (13 attaques), ont été exposés à des risques d’infection et personne ne sait combien de ces attaques ont réussi.

Classement Pays Nombre
d’attaques
Pourcentage du
nombre total
d’attaques
1 CHINA 12 708 285 53,665%
2 EGYPT 3 615 355 15,267%
3 TURKEY 709 499 2,996%
4 INDIA 479 429 2,025%
5 UNITED STATES 416 437 1,759%
6 VIETNAM 346 602 1,464%
7 RUSSIAN FEDERATION 335 656 1,417%
8 MEXICO 308 399 1,302%
9 SAUDI ARABIA 287 300 1,213%
10 GERMANY 253 097 1,069%
11 MOROCCO 230 199 0,972%
12 THAILAND 204 417 0,863%
13 INDONESIA 190 607 0,805%
14 UNITED KINGDOM 188 908 0,798%
15 FRANCE 182 975 0,773%
16 SYRIA 134 601 0,568%
17 BRAZIL 123 736 0,523%
18 TAIWAN 122 264 0,516%
19 ITALY 121 508 0,513%
20 ISRAEL 118 664 0,501%

Les habitants des vingt pays suivants ont été victimes de près de 89 % du total des attaques enregistrées :

Ce classement montre les pays dans lesquels les utilisateurs ont été exposés au plus grand nombre d’attaques. Il n’est pas étonnant de retrouver la Chine en première place. Les programmes malveillants chinois visent en premier lieu les utilisateurs locaux. Ils ont été victimes de plus de la moitié (53,66 %) des attaques. Il est plus que probable que la majorité d’entre elles étaient liées à la diffusion de chevaux de Troie développés pour voler les données d’accès à des jeux en ligne.

Il n’est pas étonnant de voir un nombre élevé d’attaques contre les Internautes dans des pays tels que l’Egypte, la Turquie ou l’Inde. Ces pays connaissent actuellement un véritable « boum Internet ». Le nombre d’internautes augmente de manière géométrique, le tout dans un contexte de connaissances technologiques peu développées des utilisateurs. C’est précisément les utilisateurs correspondant à ce profil qui sont les principales victimes des cybercriminels. Les ordinateurs infectés dans ces pays sont surtout utilisés pour créer des réseaux de zombies. Ces réseaux interviennent dans la diffusion de courrier indésirable, d’attaques par hameçonnage ainsi que dans la propagation de nouveaux programmes malveillants.

Des pays tels que les Etats-Unis, la Russie, l’Allemagne, le Royaume-Uni, la France, le Brésil, l’Italie et Israël se retrouvent également dans le Top 20. Ici, ce qui intéresse les cybercriminels, ce sont les données d’accès aux services de paiement ou de transactions bancaires en ligne, diverses ressources de réseaux et les données personnelles.

Durée de vie d’une URL malveillante

L’analyse de plus de vingt-six millions d’attaques enregistrées nous a permis de mettre en évidence un indice relativement intéressant, à savoir la durée de vie d’une URL malveillante.

Alors qu’à l’époque une épidémie pouvait durer des mois, voire des années, dans le courrier électronique, l’émergence des infections via Internet a réduit la durée de vie des attaques à quelques jours, voire quelques heures.

La brève durée de ces attaques s’explique non seulement par le fait que les programmes malveillants sont supprimés par les propriétaires des sites compromis mais également par le fait que les cybercriminels déplacent en permanence ces programmes d’une ressource à une autre afin d’éviter les « listes noires d’URL » utilisées par les logiciels antivirus ou les navigateurs modernes et l’identification des nouvelles versions d’un logiciel malveillant.

En 2008, une URL malveillante existait en moyenne 4 heures.

Attaques en fonction des ports

Le pare-feu est un élément incontournable de tout logiciel antivirus moderne. Il permet de bloquer diverses attaques contre l’ordinateur lancées de l’extérieur mais pas via le navigateur. Il protège également l’utilisateur contre les tentatives de vol de ses données.

Kaspersky Internet Security contient un pare-feu avec une fonction de détection des paquets entrants dont de nombreux sont des codes d’exploitation qui utilisent des vulnérabilités dans les services de réseau des systèmes d’exploitation et capables d’infecter les systèmes qui ne possèdent pas les correctifs requis ou de donner à l’individu mal intentionné un accès complet à l’ordinateur.

En 2008, le système UDS intégré à KIS2009 a interrompu 30 234 287 attaques de réseau.

Classement Attaque Quantité Pourcentage du
nombre total
d’attaques
1 DoS.Generic.SYNFlood 20 578 951 68,065
2 Intrusion.Win.MSSQL.worm.Helkern 6 723 822 22,239
3 Intrusion.Win.DCOM.exploit 783 442 2,591
4 Intrusion.Win.NETAPI.buffer-overflow.exploit 746 421 2,469
5 Scan.Generic.UDP 657 633 2,175
6 Intrusion.Win.LSASS.exploit 267 258 0,884
7 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 194 643 0,644
8 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 172 636 0,571
9 DoS.Generic.ICMPFlood 38 116 0,126
10 Scan.Generic.TCP 38 058 0,126
11 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 13 292 0,044
12 Intrusion.Win.Messenger.exploit 5 505 0,018
13 DoS.Win.IGMP.Host-Membership-Query.exploit 2 566 0,008
14 Intrusion.Win.EasyAddressWebServer.format-string.exploit 1 320 0,004
15 Intrusion.Win.PnP.exploit 1 272 0,004
16 Intrusion.Win.MSFP2000SE.exploit 1 131 0,004
17 Intrusion.Win.VUPlayer.M3U.buffer-overflow.exploit 1 073 0,004
18 DoS.Win.ICMP.BadCheckSum 986 0,003
19 Intrusion.Unix.Fenc.buffer-overflow.exploit 852 0,003
20 Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit 821 0,003

Parmi les dix premières places, nous retrouvons quelques attaques liées aux actions de vers de réseau à l’origine d’épidémies internationales entre 2003 et 2005. Ainsi, la deuxième place (plus de six millions d’attaques) est occupée par le ver Helkern (Slammer) à l’origine d’une épidémie en janvier 2003. Six années se sont écoulées depuis, toutefois il existe toujours des ordinateurs infectés qui sont la source de ces attaques.

La troisième place concerne les actions de divers vers qui exploitent la vulnérabilité RPC-DCOM (MS03-026). C’est cette même vulnérabilité qui fut à l’origine de l’épidémie mondiale du ver Lovesan au mois d’août 2003.

La quatrième place revient à une des vulnérabilités les plus dangereuses de 2008 : MS08-067. Les experts ont découvert son existence uniquement après la découverte sur Internet de plusieurs programmes malveillants qui utilisaient déjà cette faille dans le service de réseau NetAPI. Le ver de réseau Gimmiv a provoqué plusieurs milliers d’infections et après la publication des informations relatives à la vulnérabilité et au code d’exploitation sur Internet, les programmes malveillants basés sur MS08-063 ont fait leur apparition par dizaine et à la fin de l’année 2008, ils constituaient la principale menace pour les utilisateurs.

La 6 et la 7e place sont occupées par des vers qui utilisent la vulnérabilité MS04-011. Le représentant le plus frappant de cette catégorie est le ver Sasser qui provoqua une épidémie en avril 2004.

Toutes ces données montrent que de nombreux vers de réseaux existent toujours et recherchent de nouvelles victimes même s’ils ont connu leur pic d’activité il y a plusieurs années déjà. Il est très facile d’être infecté par ceux-ci. Il suffit d’utiliser un système d’exploitation ancien, sans mises à jour et sans pare-feu.

Infections locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Ces données concernent les objets qui se sont introduits sur les ordinateurs par d’autres moyens qu’Internet, le courrier ou les messages électroniques.

Nos logiciels antivirus ont découverts plus de 6 000 000 (6 394 359) d’incidents liés à des virus sur les ordinateurs membres du Kaspersky Security Network.

189 785 programmes malveillants ou potentiellement indésirables ont été recensés dans ces incidents.

Le Top 100 de ces programmes a été responsable de 941 648 incidents (14,72 %).

Les programmes malveillants du Top 20 figurent parmi les menaces les plus répandues en 2008.

Classement Objet détecté Nombre
d’ordinateurs
uniques sur
lesquels l’objet
a été découvert
1 Virus.Win32.Sality.aa 29 804
2 Packed.Win32.Krap.b 27 575
3 Trojan-Downloader.Win32.Small.acmn 25 235
4 Worm.Win32.AutoRun.dui 22 127
5 Trojan-Downloader.Win32.VB.eql 21 615
6 Packed.Win32.Black.a 19 586
7 Trojan.Win32.Agent.abt 17 832
8 Virus.Win32.Alman.b 16 799
9 Trojan-Downloader.JS.IstBar.cx 16 264
10 Trojan.Win32.Obfuscated.gen 15 795
11 Worm.VBS.Autorun.r 15 240
12 Trojan-Downloader.WMA.Wimad.n 15 152
13 Trojan.Win32.Agent.tfc 15 087
14 not-a-virus:AdWare.Win32.BHO.ca 14 878
15 Trojan-Downloader.WMA.GetCodec.c 14 638
16 Virus.Win32.VB.bu 14 452
17 Trojan-Downloader.HTML.IFrame.sz 14 247
18 not-a-virus:AdWare.Win32.Agent.cp 14 001
19 Email-Worm.Win32.Brontok.q 13 142
20 Worm.Win32.AutoRun.eee 12 386

Il ne faut pas oublier que ces statistiques reflètent les événements qui ont été enregistrés uniquement sur les ordinateurs des utilisateurs de nos produits qui participent à Kaspersky Security Network.

Le virus Sality.aa occupe la première place en fonction du nombre d’ordinateurs sur lequel il a été découvert en 2008. Ainsi, pour la première fois au cours des 6 années d’observations, la « menace de l’année » est un virus de fichiers classique et non pas un ver de messagerie ou un ver de réseau comme par le passé.

Sality.aa a bel et bien provoqué une épidémie internationale en 2008. Sa présence nous a été signalée en Russie, en Europe, en Amérique et en Asie.

Une des tendances importantes de ces dernières années au sujet de laquelle nous avons écrit à maintes reprises est la popularité croissante des média amovibles tels que les clés USB en guise de vecteur de transmission des programmes malveillants. La fonction de lancement autorun des fichiers intégrée au système d’exploitation Windows active le programme malveillant qui se trouve sur la clé USB. C’est le même modus operandi qu’il y a 15 ans lorsque les virus de démarrage classiques étaient activés avec les disquettes.

Sality.aa utilise le même mode de diffusion : il copie les fichiers qu’il a infecté sur la clé USB et crée un fichier autorun.inf spécial pour les exécuter.

Voici un exemple de ce type de fichiers :

[AutoRun]
;sgEFA
;uloN hbXYcKOjfOmfO
sHelLoPenDEfAult=1
;ajdsvAswgioTfv
sheLlopenCOmmAnD= qwail.cmd
;
sheLlexPLoRecommANd= qwail.cmd
;LtCTlKvhfbrDtfPpmnkawlLHemPefllTI aDekTmqqhj
opEn =qwail.cmd
;sAmqcWVlGkgqe
shElLAUtOplaycommANd=qwail.cmd
;JduAKbkYnfWejLP cNLU PyAdJo TkGRDlpvoMvJPqvD kptHbu

Les commandes exécutables apparaissent en vert. Les autres lignes du fichiers ont été ajoutées par l’auteur du virus uniquement pour éviter la détection par les logiciels antivirus

Cinq autres programmes malveillants du Top 20 utilisent un mode de propagation identique : Worm.Win32.AutoRun.dui, Virus.Win32.Alman.b, Worm.VBS.Autorun.r, Email-Worm.Win32.Brontok.q et Worm.Win32.AutoRun.eee.

La part de machines infectées par ces six programmes malveillants autorun représente 30,77 % de tous les ordinateurs infectés par les programmes malveillants du Top 20. Par rapport aux machines infectées par les programmes malveillants du Top 100, cet indice est supérieur à 18 %.

Nous constatons que ce mode de propagation est le plus populaire pour l’instant chez les auteurs de virus et il est souvent associé à une autre fonction telle que l’infection de fichiers, le vol d’informations ou la création de réseau de zombies. La propagation de programmes malveillants à l’aide de médias amovibles est devenue une caractéristique incontournable des familles de chevaux de Troie comme Trojan-GameThief.

Parmi les vingt programmes malveillants les plus répandus, six appartiennent à la catégorie Trojan-Downloader (deux appartiennent au Top 5). Cela signifie que souvent, les auteurs de virus tentent d’infecter l’ordinateur de l’utilisateur tout d’abord à l’aide d’un downloader et non pas avec le programme malveillant principal. Cette démarche leur donne plus de possibilités au moment de choisir la manière d’utiliser l’ordinateur infecté et permet d’installer d’autres chevaux de Troie créés par d’autres groupes de cybercriminels.

Nous allons nous offrir ici une parenthèse lyrique et raconter la légende du cheval de Troie. Il s’agissait du cadeau que les Grecs rusés voulaient offrir aux habitants de la ville de Troie assiégée. Les Troyens virent ce cheval en bois gigantesque au pied des remparts et le firent entrer dans la ville. Une fois la ville endormie, les soldats grecs qui étaient cachés dans le cheval sortirent et ouvrirent les portes de la ville pour permettre l’assaut par le reste des troupes. La ville de Troie tomba aux mains des Grecs.
Parmi tous les chevaux de Troie contemporains, seuls les représentants de la catégorie Trojan-Downloader remplissent vraiment les fonctions du cheval de Troie sur les ordinateurs.

Vulnérabilités

Les vulnérabilités dans les logiciels sont les menaces les plus dangereuses pour les utilisateurs. Les individus mal intentionnés peuvent les exploiter afin de contourner les moyens de protection en place et attaquer ainsi l’ordinateur. En règle générale, cela concerne les vulnérabilités qui viennent d’être découvertes et pour lesquelles il n’existe pas encore de correctifs. Ce sont elles qui sont à l’origine des attaques du jour zéro.

En 2008, des attaques du jour zéro ont été utilisées quelques fois par les individus mal intentionnés, principalement les vulnérabilités de Microsoft Office et des applications de cette suite bureautique.

En septembre, des pirates chinois inconnus ont commencé à exploiter activement une nouvelle vulnérabilité dans le service de réseau NetApi de Microsoft Windows qui permettait d’infecter des ordinateurs via une attaque de réseau. Cette vulnérabilité reçut la désignation MS08-063 et ces attaques ont atteint la quatrième position dans nos statistiques sur les attaques en fonction des ports (cf. chapitre « Attaques en fonction des ports »).

Toutefois, la méthode préférée pour lancer les attaques demeurent les vulnérabilités dans les navigateurs et leurs modules externes.

Kaspersky Lab est le premier éditeur de logiciels antivirus à avoir intégré un dispositif de balayage des vulnérabilités dans ses produits. Cette solution est la première étape vers la création d’un système réel de gestion des correctifs dont la nécessité se fait cruellement sentir non seulement dans le secteur des logiciels antivirus mais également chez les éditeurs de systèmes d’exploitation et d’applications.

Ce système permet d’identifier les applications et les fichiers vulnérables sur l’ordinateur afin que l’utilisateur puisse prendre les mesures qui s’imposent pour la résolution des problèmes. Il ne faut pas oublier que les vulnérabilités ne sont pas la seule exclusivité de Microsoft Windows qui possède un système de mise à jour intégré mais qu’elles existent également dans les applications d’éditeurs tiers.

En 2008, le système d’analyse des vulnérabilités s’est concentré sur les 100 vulnérabilités les plus répandues. Celles-ci ont été identifiées dans 130 518 320 fichiers et applications vulnérables découverts sur les ordinateurs des utilisateurs de nos logiciels antivirus.

Sur ces cent vulnérabilités, les vingt plus fréquentes ont été identifiées dans 125 565 568 fichiers et applications, soit 96 %.

  Secunia ID Vulnerabilty Nombre
de fichiers
et d’applications
vulnérables
Rating Impact Where Release Date
1 29293 Apple QuickTime Multiple Vulnerabilities 70849849 Highly critical System access From remote 10.06.2008
2 31821 Apple QuickTime Multiple Vulnerabilities 34655311 Highly critical System access From remote 10.09.2008
3 31010 Sun Java JDK / JRE Multiple Vulnerabilities 2374038 Highly critical System access, Exposure of system information, Exposure of sensitive information, DoS, Security Bypass From remote 07.09.2008
4 31453 Microsoft Office PowerPoint Multiple Vulnerabilities 2161690 Highly critical System access From remote 12.08.2008
5 30975 Microsoft Word Smart Tag Invalid Length Processing Vulnerability 1974194 Extremely critical System access From remote 09.07.2008
6 28083 Adobe Flash Player Multiple Vulnerabilities 1815437 Highly critical Security Bypass, Cross Site Scripting, System access From remote 09.04.2008
7 31454 Microsoft Office Excel Multiple Vulnerabilities 1681169 Highly critical Exposure of sensitive information, System access From remote 12.08.2008
8 32270 Adobe Flash Player Multiple Security Issues and Vulnerabilities 1260422 Moderately critical Security Bypass, Cross Site Scripting, Manipulation of data, Exposure of sensitive information From remote 16.10.2008
9 29321 Microsoft Office Two Code Execution Vulnerabilities 1155330 Highly critical System access From remote 11.03.2008
10 29320 Microsoft Outlook « mailto: » URI Handling Vulnerability 1102730 Highly critical System access From remote 11.03.2008
11 29650 Apple QuickTime Multiple Vulnerabilities 1078349 Highly critical Exposure of sensitive information, System access, DoS From remote 03.04.2008
12 23655 Microsoft XML Core Services Multiple Vulnerabilities 800058 Highly critical Cross Site Scripting, DoS, System access From remote 09.01.2007
13 30150 Microsoft Publisher Object Handler Validation Vulnerability 772520 Highly critical System access From remote 13.05.2008
14 26027 Adobe Flash Player Multiple Vulnerabilities 765734 Highly critical Exposure of sensitive information, System access From remote 11.07.2007
15 27620 RealNetworks RealPlayer Multiple Vulnerabilities 727995 Highly critical Exposure of sensitive information, System access From remote 25.07.2008
16 32211 Microsoft Excel Multiple Vulnerabilities 606341 Highly critical System access From remote 14.10.2008
17 30143 Microsoft Word Two Code Execution Vulnerabilities 559677 Highly critical System access From remote 13.05.2008
18 25952 ACDSee Products Image and Archive Plug-ins Buffer Overflows 427021 Highly critical System access From remote 02.11.2007
19 31744 Microsoft Office OneNote URI Handling Vulnerability 419374 Highly critical System access From remote 09.09.2008
20 31371 Winamp « NowPlaying » Unspecified Vulnerability 378329 Moderately critical Unknown From remote 05.08.2008

La vulnérabilité la plus répandue en 2008, sur la base du nombre de fichiers et d’applications découverts sur les ordinateurs particuliers, fut celle découverte dans le logiciel QuickTime 7.x d’Apple. Plus de 80 % des vulnérabilités furent identifiées dans ce produit.

Penchons nous sur l’origine des logiciels contenant le plus de vulnérabilités dans le Top 20 :


Répartition des vulnérabilités selon les éditeurs des applications vulnérables

Les logiciels de Microsoft rassemblent 10 des 20 vulnérabilités les plus répandues. Elles ont toutes été découvertes dans les applications de la suite bureautique Microsoft Office : Word, Excel, Outlook, PowerPoint, etc. Les vulnérabilités dans QuickTime et Microsoft Office furent les plus répandues sur les ordinateurs des particuliers en 2008.

Le troisième logiciel le plus souvent exploité par les auteurs de virus en 2008 fut Flash Player d’Adobe. Les vulnérabilités de ce logiciel ont offert de très larges possibilités aux auteurs de virus : des milliers de programmes malveillants présentés sous la forme de fichiers Flash s’attaquant aux utilisateurs lors de la simple lecture sur Internet ont fait leur apparition. Les chevaux de Troie SWF sont devenus un des principaux problèmes auquel doivent faire face les éditeurs de logiciels antivirus : il a fallu intégrer à tous les produits une procédure de traitement des fichiers au format SWF, alors que ce n’était pas nécessaire par le passé.

Une situation similaire s’est également présentée avec un autre lecteur de média très utilisé, à savoir Real Player. Les vulnérabilités qu’il contient ont été largement exploitées par les individus mal intentionnés comme en témoignent les statistiques présentées ci-dessus sur les attaques via Internet où le Top 20 regroupe des programmes tels que Exploit.JS.RealPlr.

Les vulnérabilités découvertes dans Acrobat Reader, un autre logiciel populaire d’Adobe, n’apparaissent pas dans le Top 20 mais une multitude de chevaux de Troie PDF différents ont utilisé les vulnérabilités de ce programme, ce qui a provoqué la réaction immédiate des éditeurs de logiciels antivirus.

Nous estimons que le classement des applications les plus dangereuses en 2008 doit prendre la forme suivante :

  1. Adobe Flash Player
  2. Real Player
  3. Adobe Acrobat Reader
  4. Microsoft Office

Il est intéressant de constater que les vingt vulnérabilités les plus souvent identifiées appartiennent toutes à la catégorie « remote », ce qui laisse supposer une utilisation à distance même si l’individu mal intentionné ne dispose pas d’un accès local à l’ordinateur.

L’exploitation de chacune de ces vulnérabilités entraînent des conséquences différentes pour la victime. L’effet « system access » est le plus dangereux car il permet à l’individu mal intentionné d’obtenir un accès quasi total au système.

Le groupement des vulnérabilités les plus répandues en fonction de l’effet donne le schéma suivant :


Répartition des vulnérabilités en fonction de l’effet

18 vulnérabilités permettent un « system access » et 6 peuvent déboucher sur la fuite d’informations importantes.

Les résultats de cette étude indiquent la gravité du problème des vulnérabilités et de leur neutralisation. L’absence d’homogénéité dans l’installation des correctifs chez les différents éditeurs de logiciels et le manque de conscience des utilisateurs sur la nécessité de réaliser les mises à jour sont les deux causes qui expliquent pourquoi les auteurs de virus se sont mis à développer des applications malveillantes capables d’exploiter les vulnérabilités.

Il aura fallu plusieurs années et des dizaines d’épidémies de virus internationales pour que les utilisateurs et Microsoft s’habituent à réaliser des mises à jour régulières et aisées de Windows. Combien de temps et d’incidents faudra-t-il avant que des mesures de protection identiques soient mises en oeuvre par les autres éditeurs et adoptées par les utilisateurs ?

Plateformes et systèmes d’exploitation

Le système d’exploitation ou l’application peut être attaqué par des programmes malveillants si il peut lancer le programme sans qu’il ne fasse partie du système. Tous les systèmes d’exploitation, de nombreuses applications de bureautique, des éditeurs d’images, des logiciels de gestion de projet et d’autres applications possédant des langages de script intégrés répondant à cette condition.

Pour l’ensemble du premier semestre 2008, Kaspersky Lab a recensé des programmes malveillants pour 46 plateformes et systèmes d’exploitation différents. La majorité des programmes existants est bien entendu développée pour le milieu Win32 et il s’agit de fichiers exécutables binaires.

La croissance la plus sensible des menaces a été enregistrées dans les plateformes suivantes : Win32, SWF, MSIL, NSIS, MSOffice et WMA.

WMA fut une des plateformes les plus souvent utilisées pour les attaques avec téléchargement à la dérobée. La famille des chevaux de Troie de téléchargement Wimad, qui exploitent une vulnérabilité dans Windows Media Player, figure parmi les vingt menaces les plus répandues dans les infections locales.

Les programmes malveillants pour les plateformes MSIL, NSIS et SWF méritent le plus d’attention. Nous avions prédit depuis longtemps la croissance de MSIL. Il s’agissait de la poursuite logique du développement de ce milieu de programmation de la société Microsoft et son utilisation par un nombre croissant de programmeurs, de son enseignement dans de nombreuses écoles et de l’optimisation de Windows et Windows Mobile pour l’utilisation des applications sur cette plateforme.

NSIS est tombé dans le collimateur des auteurs de virus car il s’agit d’un installateur avec un langage de script très puissant. Il a permis aux individus mal intentionnés de réaliser divers programmes de la catégorie Trojan-Dropper. L’utilisation de programmes d’installation légitimes par les auteurs de virus est peut-être un des problèmes les plus graves pour 2009. Tous les logiciels antivirus ne sont pas en mesure de décompacter ces fichiers et, qui plus est, leur taille importante complique l’émulation.

La mauvaise surprise de l’année fut SWF. Des chevaux de Troie reposant sur certains codes d’exploitation de vulnérabilités dans le Flash Player de Macromedia ont fait leur entrée dans notre liste des attaques les plus répandues via Internet. Ces vulnérabilités se sont retrouvées également parmi les vingt vulnérabilités les plus souvent identifiées sur les ordinateurs des utilisateurs (en 6, 8 et 14e place).

Les chevaux de Troie SWF, en compagnie des codes d’exploitation PDF, sont devenus le problème le plus pressant en 2008 : aucun incident avec ces logiciels n’avait jamais été enregistré (on peut ignorer un certain nombre de virus PDF conceptuels) et personne ne pensait qu’ils pouvaient présenter un danger. C’est la raison pour laquelle certains logiciels antivirus n’ont pas pu réagir comme il se doit à ces attaques. L’existence de vulnérabilités dans SWF inspira également les auteurs de virus à un autre niveau : les visiteurs de sites fictifs proposant de prétendues vidéo étaient invités à télécharger le codec nécessaire pour le lecteur vidéo ou la mise à jour de celui-ci (en raison de l’absence de vulnérabilités dans les versions antérieures). Mais le lien vers le code proposé menait toujours à un cheval de Troie.

Malgré la popularité croissante de Linux et de MacOS, le nombre de programmes malveillants pour ces systèmes n’augmente pratiquement pas. Ceci s’explique principalement par le fait que la majorité des auteurs de virus se trouve actuellement en Chine, un pays où ces systèmes d’exploitation ne jouissent pas de la même popularité qu’en Europe ou qu’aux Etats-Unis. Qui plus est, les jeux en ligne qui sont devenus la principale cible des cybercriminels sont très peu représentés sur les plateformes autres que Windows. Toutefois, nous nous attendons à l’avenir au développement de l’intérêt des éditeurs de jeux pour ces plateformes, principalement pour les plateformes mobiles. Ceci va se traduire par l’apparition de clients de jeu pour ces systèmes et, par conséquent, l’apparition de programmes malveillants.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *