Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011

  1. Développement des menaces en 2011
  2. Principales statistiques pour 2011
  3. Spam en 2011

Top 10 2011 : année explosive sur la plan de la sécurité

L’année 2011 se termine et il est bon de revenir sur les événements qui ont marqué les 12 derniers mois dans le milieu de la sécurité informatique. S’il fallait résumer l’année en un seul mot, je pense que je choisirais « explosive ». Le nombre d’incidents, d’histoires, de faits, de nouvelles tendances et d’acteurs intriguant est si important qu’il est difficile de se limiter à un Top 10 des événements ayant marqué la sécurité informatique en 2011. Mon objectif en composant cette liste était également d’évoquer les histoires qui indiquaient les grandes tendances ou l’émergence de nouveaux acteurs dans le domaine de la sécurité. Ces histoires nous permettent de nous faire une idée de ce qui nous attend en 2012.

1. La montée de l’hacktivisme

Il est difficile de s’imaginer que les lecteurs de cette liste n’ont pas encore entendu parler d’Anonymous, de LulzSec, voire de TeaMp0ison. Tout au long de 2011, ces groupes et d’autres ont été impliqués dans diverses opérations contre les forces de l’ordre, les banques, les gouvernements, les sociétés de sécurité et de grands éditeurs de logiciels. Ces groupes, qui parfois travaillent ensemble, et parfois l’un contre l’autre, sont devenus un des principaux acteurs de 2011 suite à des incidents tels que des attaques contre des réseaux appartenant aux Nations Unies, à la société d’analyse Stratfor, au sous-traitant du FBI IRC Federal, au sous-traitant ManTech du ministère de la Défense américain ou de la CIA. Il est intéressant de constater que certains de ces incidents, comment celui ayant impliqué Stratfor, ont mis en évidence de sérieux problèmes de sécurité tels que le stockage des numéros CVV sans cryptage ou les mots de passe élémentaires utilisés par les administrateurs.

Dans l’ensemble, l’émergence de l’hacktivisme aura été une des principales tendances de 2011 et il ne fait aucun doute que l’année 2012 sera marquée par des événements similaires.

2. Attaque contre HBGary Federal

Bien que cette histoire se rapporte à la catégorie abordée ci-dessus, je souhaiterais la présenter en détails. En janvier 2011, des pirates du groupe Anonymous se sont introduits dans le serveur Internet de HBGary Federal (hbgaryfederal.com) via une attaque par injections SQL. Ils ont réussi à extraire plusieurs hashs MD5 pour les mots de passe de Aaron Barr, P.D.G. de la société, et de Ted Vera, le directeur d’exploitation. Malheureusement, les deux victimes utilisaient des mots de passe très simples composés de six minuscules et de deux chiffres. Grâce à ces mots de passe, les pirates ont pu accéder aux documents de recherche de la société et à des dizaines de milliers de messages électroniques stockés sur Google Apps. Je trouve que cette histoire est pertinente car elle illustre une situation intéressante : l’utilisation de mots de passe simples associée à des systèmes informatiques dépassés et à l’utilisation de services dans le nuage peut se transformer en véritable cauchemar. Si le P.D.G. et le directeur d’exploitation avaient utilisé des mots de passe robustes, rien de tout cela ne serait arrivé. De même, s’ils avaient activé l’authentification à plusieurs facteurs sur Google Apps, les pirates n’auraient pas pu accéder au compte de superutilisateur et copier tous les messages électroniques de la société. Il faut toutefois signaler que même si des mesures de sécurité plus robustes avaient été mises en place, il n’est pas exclu que des pirates persistants n’auraient pas pu trouver une entrée. La persistance et la détermination associées à une grande quantité de temps disponible donnent l’avantage aux pirates.

3. Attaque complexe, ciblée et persistante (ATP)

Bien que de nombreux experts en sécurité informatique méprisent ce terme, il apparaît dans les médias et il est devenu extrêmement populaire suite à l’attaque contre RSA ou les incidents portant des noms aussi impressionnants que les opérations Night Dragon, Lurid et Shady Rat. Il faut noter que beaucoup de ces opérations n’étaient pas du tout complexe. D’un autre côté, il y a eu de nombreux cas impliquant des codes d’exploitation 0jour, comme dans l’attaque contre RSA. Dans ce cas précis, les pirates ont exploité la vulnérabilité CVE-2011-06009, une vulnérabilité dans Adobe Flash Player qui permet d’exécuter un code malveillant sur l’ordinateur cible. Une autre vulnérabilité 0jour intéressante est la vulnérabilité CVE-2011-2462, dans Adobe Reader, qui a été utilisée dans des attaques ciblant le sous-traitant Man Tech du ministère de la Défense américain. Plusieurs éléments attirent l’attention dans ces attaques : de nombreux cas impliquaient des vulnérabilités 0jour dans des logiciels Adobe, de nombreux cas visaient des cibles américaines, notamment des sociétés travaillant pour l’armée ou le gouvernement américain ; l’attaque Lurid fut intéressante car elle ciblait principalement des pays d’Europe de l’Est tels que la Russie ou d’autres pays de la CEI. Ces attaques confirment l’émergence de puissants Etats-nation acteurs et la mise en place du cyberespionnage en tant que pratique commune. De plus, beaucoup de ces attaques semblaient interconnectées et avaient de grandes ramifications internationales. Ainsi, l’attaque contre RSA a fait parler d’elle car les pirates ont volé la base de données de jeton SecurID dont le contenu a été utilisé ensuite dans une autre attaque d’envergure.

4. Les incidents impliquant Comodo et Diginotar

Le 15 mars 2011, un des associés de Comodo, une société connue pour ses logiciels de sécurité informatique et ses certificats numériques SSL, a été piraté. L’auteur de l’attaque a rapidement utilisé l’infrastructure existante pour créer neuf faux certificats numériques pour des sites tels que mail.google.com, login.yahoo.com, addons.mozilla.com et login.skype.com. Au cours de l’analyse de l’incident, Comodo a été en mesure d’identifier la source de l’attaque : l’adresse IP 212.96.136.18 à Téhéran en Iran. Mais en termes d’ampleur, cela n’était rien comparé à l’attaque dont a été victime DigiNotar. Le 17 juin 2011, des pirates ont commencé à explorer les serveurs de DigiNotar et au cours des cinq jours suivants, ils ont pu accéder à l’infrastructure de la société et générer plus de 300 certificats frauduleux. Le pirate a laissé un message sous la forme d’un certificat numérique contenant le texte en perse : « Grand pirate, je vais déchiffrer tous les codes, je vais briser ta tête. » Pour renforcer le lien avec l’Iran, quelques jours plus tard, de faux certificats étaient utilisés dans le cadre d’une attaque de l’homme du milieu contre 100 000 utilisateurs de Gmail en Iran.

Ces attaques menées contre Comodo et DigiNotar ont mis en évidence la perte de confiance qui existe déjà par rapport aux autorités de certification. A l’avenir, il se peut que les attaques contre ces autorités augmentent. De plus, il est possible que des programmes malveillants dotés d’une signature numérique fassent leur apparition.

5. Duqu

En juin 2010, Serge Ulasen, employé dans la société biélorusse VirusBlokada, a découvert un programme malveillant intriguant qui semblait utiliser des certificats volés pour signer ses pilotes et utiliser un code d’exploitation 0jour qui utilisait un fichier .lnk pour la réplication en mode d’exécution automatique. Ce programme malveillant est devenu célèbre à travers le monde sous le nom de Stuxnet, un ver informatique contenant une charge utile très spéciale visant directement le programme nucléaire iranien. Stuxnet a pris les commandes des systèmes de gestion développés par Siemens dans la centrale de Natanz en Iran et les a reprogrammé d’une manière très spéciale, démontrant ainsi son unique objectif : saboter le processus d’enrichissement de l’uranium à Natanz. A l’époque, lorsque j’ai vu le code qui avait reprogrammé les systèmes de gestion chargés du contrôle des centrifugeuses de 64 000 tr/min, je m’étais dit qu’il était impossible d’écrire un tel programme sans avoir accès au schéma d’origine et au code source. Mais comment les pirates auraient-ils pu obtenir des informations aussi sensibles que le code personnalisé qui commande cette infrastructure d’un milliard de dollars ?

Une possibilité est le cheval de Troie Duqu. Créé par les mêmes individus que ceux à l’origine de Stuxnet, Duqu a été découvert en août 2011 par le laboratoire de recherche hongrois CrySyS. Au départ, le mode d’infection des victimes par Duqu était inconnu. Plus tard, des documents Microsoft Word malveillant exploitant la vulnérabilité CVE-2011-3402 ont été identifiés comme origine de la pénétration de Duqu. L’objectif poursuivi par Duqu est bien différent de celui de Stuxnet. Ce cheval de Troie est en fait un jeu d’outils d’attaque sophistiqué qui peut être utilisé pour s’introduire dans un système et en retirer de manière systématique toutes les informations. De nouveaux modules peuvent être chargés et exécutés au vol, sans empreinte de fichier système. L’architecture très modulaire, ainsi que le nombre restreint de victimes à travers le monde, a permis de rendre Duqu indétectable pendant de nombreuses années. Les premières traces d’activité impliquant Duqu que nous avons pu détecter remontent au mois d’août 2007. Dans tous les incidents que nous avons analysés, les pirates ont utilisé une infrastructure composée de serveurs piratés pour déplacer les données, parfois des centaines de mégaoctets, depuis les ordinateurs des victimes.

Duqu et Stuxnet représentent le summum dans la cyberguerre et ils laissent penser que nous entrons dans une période de cyberguerre froide qui va opposer les puissances libérées des contraintes imposées par les limites de la guerre réelle.

6. Attaque contre le PlayStation Network de Sony

Le 19 avril 2011, Sony a appris que son PlayStation Network (PSN) avait été victime d’une attaque. Au début, la société n’était pas désireuse d’expliquer ce qui s’était produit et déclara que le service, suspendu le 20 avril, serait à nouveau disponible après quelques jours. Il aura fallu attendre le 26 avril pour que la société admette que des informations personnelles avaient été volées, dont peut-être des numéros de carte de crédit. Trois jours plus tard, des informations faisant état de la proposition de vente de 2,2 millions de numéros de carte de crédit sur des forums de pirates ont fait leur apparition. Au 1er mai, le PSN était toujours indisponible, si bien que de nombreux utilisateurs dont les données de la carte de crédit avaient été volées étaient également frustrés de ne pas pouvoir jouer aux jeux qu’ils avaient déjà achetés. En octobre 2011, le PSN a de nouveau défrayé la chronique avec 93 000 comptes compromis qui avaient été verrouillés par Sony pour éviter toute nouvelle mauvaise utilisation. L’attaque contre le PSN de Sony est un événement marquant de 2011 car elle montre, entre autres, qu’à l’époque du nuage, les informations permettant d’identifier des personnes sont stockées dans un seul endroit facilement accessible via des connexions Internet rapides et que ces informations peuvent être aisément volées en cas de mauvaise configuration ou de problèmes de sécurité. En 2011, 77 millions de noms d’utilisateur et 2,2 millions de cartes de crédits sont devenus un butin normal dans l’ère du nuage.

7. Lutte contre la cybercriminalité et démantèlement de réseaux de zombies

Alors que l’identité des pirates qui ont attaqué le PSN est toujours inconnue, 2011 aura été vraiment une mauvaise année pour de nombreux cybercriminels qui ont été arrêtés par les autorités judiciaires dans divers pays. Les arrestations des membres du gang ZeuS, la mise hors service du gang DNSChanger et le démantèlement des réseaux de zombies Rustock, Coreflood et Kelihos/Hilux ne sont que quelques exemples. Ils révèlent une tendance émergente : la mise hors d’état de nuire d’un groupe de cybercriminels est très efficace pour freiner l’activité criminelle à travers le monde car elle montre aux autres gangs que leur activité n’est plus dépourvue de risques. Je souhaiterais m’arrêter un instant sur le démantèlement de Kelihos, une opération à laquelle Kaspersky Lab a participé en coopération avec le service de lutte contre la criminalité numérique de Microsoft. Dans ce cas, Kaspersky Lab a mis en place un siphon pour le réseau de zombies comptant plusieurs dizaines de milliers d’utilisateurs infectés par jour. Et c’est ici que le grand débat commence : en connaissant le processus de mise à jour du bot, Kaspersky Lab ou n’importe quelle autorité judiciaire pourraient vraiment envoyer un programme à tous les utilisateurs infectés en les prévenant, voire nettoyer les ordinateurs automatiquement. Suite à un sondage organisé sur le site de Securelist, 83 % des participants ont déclaré que « Kaspersky Lab devrait envoyer un outil de nettoyage capable de supprimer les infections », même si cette opération est illégale dans la majorité des pays. Pour des raisons évidentes, nous n’avons pas agi ainsi, mais ce cas met en évidence les grandes limites du système juridique actuel lorsqu’il s’agit de lutter efficacement contre la cybercriminalité.

8. La croissance des programmes malveillants pour Android

En août 2010, nous avons identifié le premier cheval de Troie pour la plateforme Android : Trojan-SMS.AndroidOS.FakePlayer.a qui se présentait sous les traits d’un lecteur de média. En mois d’un an, les programmes malveillants pour Android ont très vite progressé et sont devenus la catégorie de programmes malveillants pour appareils nomades la plus populaire. Cette tendance a été confirmée au troisième trimestre 2011, avec la découverte de plus de 40 % de tous les programmes malveillants pour appareils nomades que nous avons détectés en 2011. Finalement, nous avons atteint la masse critique en novembre 2011 lorsque nous avons détecté plus de 1 000 échantillons malveillants pour Android, soit presque autant que tous les programmes malveillants que nous avions découverts au cours des six années antérieures ! L’énorme popularité des programmes malveillants pour Android peut être attribuée à plusieurs facteurs, dont la folle croissance d’Android lui-même. Ensuite, la documentation gratuite disponible sur la plateforme Android facilite la création de programmes malveillants pour cette plateforme. Enfin, nombreuses sont les voix qui critiquent la faiblesse du processus de révision appliqué aux applications proposées sur le Google Market, ce qui permet aux individus malintentionnés de charger directement les programmes malveillants. Alors qu’il n’existe que deux programmes malveillants connus pour l’iPhone, notre collection de chevaux de Troie pour Android compte déjà près de 2 000 exemplaires.

9. L’incident CarrierIQ

Carrier est une petite société privé non cotée en bourse fondée en 2005 et qui est établie à Mountain View en Californie. D’après les informations fournies sur le site de la société, le logiciel de CarrierIQ est déployé sur plus de 140 millions de périphériques à travers le monde. Bien que l’objectif déclaré de CarrierIQ soit d’obtenir des informations de diagnostic sur les postes mobiles, Trevor Eckhart, spécialiste des questions de sécurité, a démontré à quel point les informations récoltées par CarrierIQ vont au-delà du simple diagnostic et que l’application est capable d’enregistrer les frappes et de surveiller les URL ouvertes depuis un périphérique mobile. CarrierIQ est intégré à une architecture de commande et de contrôle traditionnelle dans laquelle les administrateurs système peuvent définir les informations récoltées sur les téléphones et les éléments d’informations qui seront renvoyés aux administrateurs. Bien qu’il soit évident que CarrierIQ récolte un volume d’informations important sur le téléphone mobile, cela ne veut pas dire pour autant que l’application représente un mal, du moins c’est ce que veulent nous faire croire les auteurs du logiciel ou des sociétés comme HTC qui sont en faveur de son utilisation. Dans la mesure où CarrierIQ est établie aux Etats-Unis, elle pourrait être forcée à divulguer les informations récoltées aux autorités judiciaires américaines si celles-ci présentaient un mandat. Cette lacune légale pourrait transformer l’application en un outil d’espionnage et de surveillance pour le gouvernement. Que cela soit vrai ou non, de nombreux utilisateurs ont décidé de supprimer CarrierIQ de leur téléphone. Malheureusement, la procédure n’est pas aisée et diffère selon qu’il s’agit d’un iPhone, d’un Blackberry ou d’un téléphone Android. Dans le cas d’Android, il faut peut-être accéder à la racine du téléphone pour se débarrasser de l’application. De nombreux utilisateurs ont décidé d’utiliser le micrologiciel Android personnalisé comme Cyanogenmod par exemple.

L’incident impliquant CarrierIQ montre que nous n’avons vraiment aucune idée de ce qui est vraiment exécuté sur nos périphériques mobiles ou du niveau de contrôle exercé par l’opérateur de téléphonie mobile sur notre matériel.

10. Programmes malveillants pour MacOS

Je suis conscient que je m’expose aux critiques en mentionnant les programmes malveillants pour Mac OS X, mais je pense qu’il s’agit d’un événement important de 2011 qui ne peut être ignoré. Des logiciels portant des noms tels que MacDefender, MacSecurity, MacProtector ou MacGuard, tous de faux antivirus pour MacOS, sont apparus en mai 2011 et sont vite devenus populaires. Diffusés via des techniques de référencement illégal dans les recherches de Google, ces programmes exploitent l’ingénierie sociale pour amener l’utilisateur à télécharger, installer, puis acheter la version « complète » de l’application. La majorité des utilisateurs qui décident de payer les 40 dollars pour la prétendue version complète découvrent plus tard qu’ils ont payé en réalité 140 dollars, et parfois plusieurs fois. Le transfert des menaces pour PC (la catégorie des faux antivirus étant une des catégories de programmes malveillant les plus populaires sur les PC) sur Mac est une tendance importante de 2011. Outre les faux logiciels antivirus pour Mac, il faut citer égaler la famille de chevaux de Troie DNSChanger. Identifiés pour la première fois en 2007, ces petits chevaux de Troie compromettent très simplement un système en remplaçant les paramètres DNS par les DNS des serveurs privés des criminels avant de se désinstaller. Par conséquent, vous pouvez être infecté par un DNSChanger, subir une modification de vos paramètres DNS et pensez que tout va bien car il n’y a aucun programme malveillant sur votre ordinateur mais en réalité, les criminels abusent de la communication DNS pour vous faire visiter de faux sites Web et réaliser des fraudes au clic ou des attaque de type homme du milieu. Heureusement, le FBI a arrêté en novembre 2011 six ressortissants estoniens membres du gang à l’origine du programme malveillant DNSChanger. Selon les données obtenues par le FBI, au cours des quatre dernières années, ce groupe a infecté plus de 4 millions d’ordinateurs dans plus de 100 pays et obtenu près de 14 millions de dollars de revenus illégaux. Ces incidents indiquent que les programmes malveillants pour Mac OS sont une réalité comme pour les PC et que même les pratiques modernes en matière de sécurité sont parfois inefficaces face à des techniques d’ingénierie sociale soigneusement élaborées. Il ne fait aucun doute que les deux plateformes seront toujours prises pour cible à l’avenir.

Pour résumer, ces dix événements ne sont qu’un petit point dans la galaxie des incidents de sécurité survenus en 2011. Je les ai choisis car ils impliquent les principaux acteurs de 2011 qui vont certainement continuer à jouer un rôle important dans la grande production qui nous attend au tournant. Il s’agit des groupes d’hackitivistes, des sociétés de sécurité, des menaces ATP dans le cadre du cyberespionnage auquel se livrent les grandes puissances, les principaux éditeurs de logiciels et de jeux comme Adobe, Microsoft et Sony, les autorités judiciaires, les cybercriminels traditionnels, Google et le système d’exploitation Android et Apple avec son système d’exploitation Mac OS X. Les relations entre ces différents acteurs peuvent être compliquées, dramatiques, riches en secret et aussi mystérieuses et rêveuse que Dexter sur Showtime. Une chose est certaine : ce sont ces mêmes acteurs que nous allons retrouver dans tous les grands scénarios de sécurité informatique en 2012.

Pronostic pour 2012

Cyberarme

En 2011, presque toutes les grandes puissances ont démontré qu’elles étaient prêtes à développer et à utiliser des cyberarmes. L’hystérie collective apparue en 2010 suite à la découverte du ver Stuxet va faire que certains Etats sont prêts à assimiler l’utilisation d’une cyberarme contre eux à un véritable acte de guerre. Et ils oublient les particularités très importantes de ce type de menace.

Stuxnet fut un cas unique, un programme exclusif à utiliser à un moment donner dans un lieu déterminé. Et la possibilité d’une résolution militaire du problème était pratiquement exclue. A l’avenir, les exemplaires de cyberarme telle que Stuxnet resteront uniques : leur émergence dépendra totalement des relations entre deux pays concrets.

Pour créer une telle cyberarme, il faut deux parties : le pays commanditaire et le pays victime à l’origine d’un problème qu’il faut absolument régler alors que l’option militaire ne peut être envisagée. L’analyse des conflits de ce genre permet de tirer certaines conclusions et de prévoir des événements similaires à l’avenir.

Ce qui précède s’applique aux cyberarme de style Stuxnet, à savoir des programmes de sabotage. Des cyberarmes plus élémentaires seront vraisemblablement plus souvent utilisées : programmes malveillants, bombes logiques, etc. visant à détruire des données à un moment précis. De tels programmes peuvent être développés en continu et ils peuvent être exécutés également en continu. De plus, pour créer de telles menaces, l’armée, les autorités judiciaires et les services secrets peuvent faire appel à des sous-traitants sous la forme de sociétés privées qui souvent gardent le silence sur les commandes qu’elles réalisent.

Les cyberconflits en 2012 se derouleront selon les axes d’opposition devenus traditionnels : USA/israël – Iran et USA/Europe de l’Ouest – Chine

Attaques ciblees en masse

Le développement de la situation liée à l’émergence de nouveaux acteurs sur la scène des sources de programmes malveillants et de cyberattaques observé en 2011 va entraîner en 2012 une augmentation sensible du volume de ces menaces et du nombre d’incidents recensés publiquement.

La détection de ces attaques sera plus efficace qu’avant et le nombre d’attaques connues augmentera. La problématique de la détection et de la neutralisation des attaques ciblées a donné naissance à un secteur distinct de sociétés de sécurité et les grandes sociétés qui sont souvent victimes de ces attaques font appel à de petites sociétés privées pour enquêter sur ces incidents. La concurrence croissante entre ces services de protection va entraîner une divulgation plus large des incidents détectés.

L’augmentation du niveau de protection et du nombre de « défenseurs » va forcer les auteurs des attaques à modifier considérablement la méthode des attaques.

Pour l’instant, de nombreux groupes qui organisent des attaques ciblées ne prennent même pas la peine de développer des programmes malveillants spéciaux : ils utilisent des programmes « clé en main » qu’ils n’ont même pas développé. Citons à titre d’exemple le cheval de Troie PoisonIvy, créé en Suède, qui est devenu l’outil de prédilection des pirates chinois. De l’autre côté, nous retrouvons le cheval de Troie Duqu, qui change en fonction de l’objectif qu’il poursuit et qui utilise des serveurs de commande dédiés.

La méthode d’attaque traditionnelle via le courrier électronique à l’aide de documents Office contenant des codes d’exploitation va de devenir de moins en moins efficace. Les attaques organisées via le navigateur vont devenir plus fréquentes. Bien entendu, l’efficacité de ces attaques va dépendre du nombre de vulnérabilités découvertes dans les applications les plus souvent utilisées (navigateurs, applications de bureautique, systèmes multimédia).

Les types de société et d’activité qui vont être victimes de ces attaques vont augmenter. Pour l’instant, la majorité des incidents implique des sociétés ou des institutions publiques impliquées dans le développement d’armes, des structures financières, des instituts scientifiques et des sociétés de recherche. En 2012, les sociétés minières, les sociétés énergétiques, les sociétés de transport, les sociétés qui produisent des aliments, des médicaments ainsi que les grandes sociétés sur Internet ou les principaux éditeurs de logiciels de sécurité informatique vont être exposées à un risque plus important. La zone géographique des attaques va également s’élargir : les pays d’Europe occidentale et les Etats-Unis, qui composent actuellement les principales cibles, vont être rejoints par des pays d’Europe de l’Est, du Moyen-Orient et d’Asie du Sud-Est.

Menaces sur les appareils nomades

Android

Les auteurs de virus pour appareils nomades vont continuer à développer leur intérêt pour Android. En 2012, ils vont consacrer tous leurs efforts à la création de programmes malveillants pour cette plateforme. Si l’on tient compte de la tendance observée au deuxième semestre 2011 en matière de domination des programmes malveillants pour Android sur toutes les autres plateformes pour appareil nomade, rien ne laisse penser que les auteurs de virus vont, à court terme, s’intéresser à une autre plateforme.

Augmentation du nombre d’attaques à l’aide de vulnérabilités. En 2012, les cybercriminels vont utiliser activement divers codes d’exploitation pour diffuser leurs programmes malveillants ainsi que des programmes malveillants contenant des codes d’exploitation qui permettent par exemple d’accroître les privilèges et d’avoir un accès complet au système d’exploitation de l’appareil. En 2011, toutes les attaques qui reposaient sur des codes d’exploitation visaient à augmenter les privilèges dans le système d’exploitation. Mais en 2012, nous allons certainement observer les premières attaques visant à infecter le système d’exploitation. En d’autres termes, nous allons voir les premières attaques par téléchargement à la dérobée.

Augmentation du nombre d’incidents impliquant des programmes malveillants dans les magasins officiels d’applications, principalement Android Market. Quand on sait que la politique de révision des nouvelles applications appliquée par Google n’a pas subi de grandes modifications malgré les nombreux cas de programmes malveillants détectés sur Android Market, il est peu probable que les auteurs de virus vont arrêter de charger leurs programmes malveillants sur des sources officielles.

La probabilité de voir apparaître les premiers vers de masse pour Android, capables de se diffuser via SMS en envoyant des liens vers leur fichier hébergé dans un magasin d’applications quelconque est très élevée. Il est également probable que nous allons voir apparaître les premiers réseaux de zombies mobiles pour cette plateforme.

En 2011, certains groupes d’auteurs de virus sont passé à la production industrielle de programmes malveillants pour appareils nomades et cette tendance va se renforcer en 2012. Nous allons donc nous retrouver face à un secteur à part entière de production de programmes malveillants.

Autres plateformes

Symbian. La plateforme qui fut pendant longtemps la préférée des utilisateurs et des auteurs de virus perd du terrain sur le marché des systèmes d’exploitation mobile et parmi les cybercriminels. Par conséquent, nous ne nous attendons pas à un nombre important de programmes malveillants pour cette plateforme.

J2ME. Le nombre de programmes malveillants (notamment des chevaux de Troie par SMS) sous Java 2 Micro Edition va être important. Mais ce nombre va se maintenir au niveau actuel ou légèrement inférieur à celui-ci.

Windows Mobile. Cette plateforme n’a jamais vraiment attiré l’attention des auteurs de virus et 2011 ne fut pas une exception. Il ne faut pas dès lors s’étonner si le nombre de programmes malveillants pour cette plateforme en 2012 pourra se compter sur les doigts de la main.

Windows Phone 7. Il est probable que les premiers programmes malveillants de type preuve de concept fassent leur apparition pour cette plateforme.

iOS. Depuis l’apparition en 2009 de deux programmes malveillants pour les périphériques iOS jailbreaké, peu de choses ont changé. Et on ne s’attend à aucun changement en 2012. Tout cela bien entendu, si Apple ne modifie pas la politique de diffusion des applications.

Il est probable qu’en 2012, une grande partie des programmes malveillants qui seront créés pour les systèmes d’exploitation autre qu’Android sera destinée à des attaques ciblées. Les attaques menées à l’aide de ZitMo et SpitMo (ZeuS et SpyEye-in-the-mobile) sont des exemples marquants de ce phénomène.

Espionnage mobile : le vol de données depuis les téléphones mobiles et la surveillance d’une personne via son téléphone et les services de géolocalisation seront des phénomènes répandus qui sortiront du domaine habituel de l’application de ces technologies par les autorités judiciaires et les sociétés privées d’enquête.

Attaques contre les transactions bancaires en ligne

Les attaques contre les systèmes de transactions bancaires en ligne seront une des principales méthodes (si pas la plus importante) utilisées pour voler l’argent des utilisateurs particuliers. Ce genre de criminalité augmente progressivement dans le monde, malgré toutes les contre-mesures techniques adoptées par les banques.

Le nombre d’incidents liés à l’accès non autorisé aux systèmes de transactions bancaires en ligne va augmenter plus rapidement dans les pays d’Asie. Ceci s’explique par le développement actif de ces services en Asie du Sud-Est et en Chine et par la présence dans cette région de nombreux groupes de cybercriminels spécialisés jusqu’à présent dans d’autres types d’attaques (principalement contre les adeptes des jeux en ligne). Outre les attaques contre les jeux en ligne, les cybercriminels asiatiques étaient connus jusqu’à présent pour les attaques de phishing contre les clients de banques européennes ou américaines. Désormais, vu l’augmentation du nombre de services locaux de paiement en ligne et de transactions bancaires suite à l’augmentation du niveau de vie de la population dans les pays de cette région, les attaques contre les clients de banques locales à l’aide de messages de phishing locaux et de chevaux de Troie spécialisés vont augmenter.

Il est fort probable que ces attaques cibleront non seulement les utilisateurs d’ordinateurs personnels, mais également les utilisateurs d’appareils nomades. Outre les utilisateurs en Asie du Sud-Est et en Chine, il est possible que les utilisateurs de systèmes de paiement mobile en Afrique de l’Est soient également victimes d’attaques.

Vie privee des utilisateurs

Les problèmes liés à la protection des données des utilisateurs, de la vie privée et des informations vont devenir progressivement un des grands sujets de la sécurité des informations. Les incidents de 2011 liés aux fuites d’informations des utilisateurs de sites d’opérateurs de téléphonie mobile russes ou de système de commerce électronique, le cas du logiciel pour appareil nomade de la société CarrierIQ ou la conservation des données de géolocalisation de l’iPad/iPhone ou le vol de données de dizaines de millions de clients de différents systèmes en Corée du Sud ou les attaques contre Sony PlaySation Network ne sont que quelques uns des événements marquants de l’année 2011. Bien que ces incidents aient des causes diverses et que les attaques aient porté sur des volumes et des types de donnée différents, ils font tous partie d’une même chaîne. De plus en plus de sociétés à travers le monde cherchent à obtenir un maximum d’informations sur leurs clients.

Malheureusement, cette soif d’informations ne s’accompagne pas toujours des mesures suffisantes pour garantir la protection des informations obtenues. Le développement des technologies du Cloud joue aussi un rôle dans les fuites d’informations potentielles : les individus malintentionnés ont de nouveaux objectifs, à savoir les centres de données où sont conservées les données de diverses sociétés. Les fuites de données depuis des services dans le Cloud peuvent nuire à la technologie en elle-même et au concept de stockages dans le nuage qui reposent en grande partie sur la confiance des utilisateurs.

S’agissant des systèmes qui collectent les données des utilisateurs tels que CarrierIQ, il ne fait aucun doute que d’autres cas seront détectés en 2012. Les opérateurs de téléphonie mobile, les éditeurs de logiciels et les services Internet n’ont pas l’intention d’abandonner les avantages potentiels liés à la détention d’informations sur les utilisateurs.

Hacktivisme

L’hacktivisme ou les attaques de pirate en guise de protestation contre quoi que ce soit va renaître et atteindre une nouvelle phase de développement. Les attaques contre différentes entreprises ou institutions publiques à travers le monde vont se poursuivre en 2012, même si pour les empêcher, les autorités judiciaires réaliseront des arrestations d’hacktivistes.

Les attaques des hacktivistes auront de plus en plus souvent un caractère politique : ce sera la principale différence par rapport à 2011 où les attaques ciblaient principalement des entreprises ou étaient organisées juste pour le lulz.

Toutefois, l’hacktivisme peut servir à dissimuler d’autres attaques en détournant l’attention, créer de fausses pistes ou nuire sans danger à un objet en particulier. En 2011, les attaques d’hackivistes ont entraîné à plusieurs reprises la fuite d’informations importantes (commerciales ou de sécurité nationale) qui sont l’objet des attaques ciblées classiques. Dans ce cas, les hacktivistes ont aidé (peut-être sans le vouloir) d’autres groupes qui pourraient utiliser des attaques et les informations volées dans des buts totalement différents ou pour mener d’autres attaques.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *