Bulletin de Kaspersky sur la sécurité en 2011. Principales statistiques pour 2011

  1. Développement des menaces en 2011
  2. Principales statistiques pour 2011
  3. Spam en 2011

Cette partie du rapport est incluse dans le Kaspersky Security Bulletin 2011 et elle a été rédigée sur la base de données obtenues et traitées à l’aide de Kaspersky Security Network (KSN). Le KSN, qui est une des technologies les plus importantes de Kaspersky Lab, utilise une architecture dématérialisée dans les logiciels destinés aux particuliers et aux entreprises.

Kaspersky Security Network permet à nos experts de découvrir en temps réel les nouveaux programmes malveillants pour lesquels il n’existe pas encore de moyen de détection à l’aide de signatures ou d’analyse heuristique. KSN permet d’identifier les sources de propagation des programmes malveillants sur Internet et d’en bloquer l’accès pour les utilisateurs.

De la même manière, KSN permet de réagir très rapidement aux nouvelles menaces. À l’heure actuelle, nous pouvons bloquer l’exécution d’un nouveau programme malveillant sur les ordinateurs des utilisateurs quelques dixièmes de seconde après la prise de décision sur son caractère nocif et cela, sans le recours à la mise à jour traditionnelle des bases antivirus.

Les statistiques présentées dans le rapport reposent sur les données obtenues via les logiciels de Kaspersky Lab dont les utilisateurs ont accepté de transmettre des données statistiques.

Programmes malveillants sur Internet (attaques via Internet)

Le nombre d’attaques réalisées via des navigateurs est passé de 580 371 937 à 946 393 693. Ceci signifie que nos produits ont protégé les utilisateurs sur Internet 2 592 859 fois par jour en moyenne.

Le nombre d’attaques via Internet déjouées en 2011 est 1,63 fois supérieur aux résultats de 2010, ce qui est bien inférieur au rythme de croissance que nous avons observé au cours des trois dernières années. Ainsi en 2010, le nombre de tentatives d’infection avait été multiplié par huit par rapport à 2009.

Le ralentissement de la croissance du nombre de tentatives d’infection via Internet s’explique par le fait que les individus malintentionnés n’ont utilisé absolument aucune nouvelle méthode d’infection massive des ordinateurs pour réaliser leurs attaques. La principale forme d’infection via les navigateurs demeure les paquets de codes d’exploitation qui permettent de réaliser des attaques par téléchargement à la dérobée à l’insu de l’utilisateur. Deux ensembles de codes d’exploitation ont été beaucoup vendus au cours de cette année sur le marché noir : BlackHole et Incognito qui sont devenus très vite populaires auprès des cybercriminels et qui ont fait leur entrée dans le Top 5 des paquets de codes d’exploitation les plus souvent utilisés. Il faut noter que toute cette activité fonctionne autour des partenariats organisés par les pirates.

Rien ne laisse supposer que la situation va vraiment changer et par conséquent, la hausse du nombre d’attaques via Internet va ralentir davantage. Viendra ensuite une stabilisation progressive du nombre d’incidents.

Top 20 des programmes malveillants sur Internet

Parmi tous les programmes malveillants impliqués dans ces attaques contre les utilisateurs sur Internet, nous avons identifié les 20 programmes les plus actifs. Ils sont responsables de 87,5 % des attaques sur Internet.

Classement Nom Nombre d’attaques* % de l’ensemble des attaques
1 Malicious URL 712 999 644 75,01%
2 Trojan.Script.Iframer 35 522 262 3,67%
3 Exploit.Script.Generic 17 176 066 1,81%
4 Trojan.Script.Generic 15 760 473 1,66%
5 Trojan-Downloader.Script.Generic 10 445 279 1,10%
6 Trojan.Win32.Generic 10 241 588 1,08%
7 AdWare.Win32.HotBar.dh 7 038 405 0,74%
8 Trojan.JS.Popupper.aw 5 128 483 0,54%
9 AdWare.Win32.FunWeb.kd 2 167 974 0,23%
10 Trojan-Downloader.Win32.Generic 1 979 322 0,21%
11 AdWare.Win32.Eorezo.heur 1 911 042 0,20%
12 AdWare.Win32.Zwangi.heur 1 676 633 0,18%
13 Hoax.Win32.ArchSMS.heur 1 596 642 0,17%
14 Trojan.HTML.Iframe.dl 1 593 268 0,17%
15 Trojan.JS.Agent.uo 1 338 965 0,14%
16 AdWare.Win32.FunWeb.jp 1 294 786 0,14%
17 Trojan-Ransom.Win32.Digitala.bpk 1 189 324 0,13%
18 Trojan.JS.Iframe.tm 1 048 962 0,11%
19 AdWare.Win32.Agent.uxx 992 971 0,10%
20 AdWare.Win32.Shopper.ee 970 557 0,10%
Ces statistiques sont les verdicts détectés du module Antivirus Internet transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
* Total des incidents uniques recensés par l’Antivirus Internet sur les ordinateurs des utilisateurs.

Le développement de nouvelles technologies de détection qui exploitent les possibilités du KSN a permis de faire passer la part de menaces détectables via analyse heuristique sans mise à jour des bases antivirus traditionnelles de 60 à 75 %. Les sites malveillants détectés à l’aide de ces méthodes occupent la première place du classement. Notez que la majorité des URL malveillantes détectées sont associées à des sites hébergeant des codes d’exploitation.

En deuxième position, nous retrouvons les scripts malveillants introduits par les individus malintentionnés dans le code de site compromis à l’aide de programmes spéciaux. L’injection d’une balise Iframe masquée avec un lien vers une ressource malveillante est une méthode utilisée dans les attaques par téléchargement à la dérobée : l’utilisateur accède à un site légitime et le navigateur est redirigé à l’insu de l’Internaute vers une ressource contenant une sélection de codes d’exploitation. Des scripts malveillants similaires détectés par des méthodes plus élémentaires (signatures) se retrouvent en 14e et en 18e position.

De la 3e à la 6e position, nous retrouvons divers verdicts heuristiques sous la forme de scripts et de fichiers exécutables PE. Ces programmes téléchargent et exécutent d’autres programmes malveillants. Ils ont également leur propre « charge utile » : vol de données d’accès aux comptes en banque en ligne, aux comptes de réseaux sociaux, etc.

On retrouve également dans le Top 20 sept représentants de logiciels publicitaires des familles Zwangi, FunWeb, Eorezo, Shopper et HotBar qui figurent dans notre classement depuis plusieurs années. Ces programmes utilisent plusieurs méthodes pour s’introduire dans l’ordinateur de l’utilitaire, parfois à la limite de l’échec.

Par rapport à 2010, deux nouveaux types de programme malveillant ont fait leur entrée dans le classement. Il s’agit tout d’abord des programmes utilisés dans le cadre d’escroquerie impliquant des numéros surtaxés : Hoax.Win32.ArchSMS.heur (13e position). Nos logiciels ont recensé plus d’un million d’incidents impliquant ces programmes et la part du lion revient aux cas observés dans l’Internet russophone. Le deuxième type est le cheval de Troie de chantage Digitala (17e position). Ce programme bloque le fonctionnement normal de l’ordinateur et exige que l’utilisateur verse une somme aux individus malintentionnés pour rétablir l’état d’origine du système.

Top 20 des pays dont les ressources hébergent les programmes malveillants

Pour réaliser les 946 393 693 attaques via Internet, les individus malintentionnés ont utilisé 4 073 646 domaines. Des serveurs hébergeant du code malveillant ont été détectés dans 198 pays. Près de 86,4% de l’ensemble des hébergeurs malveillants que nous avons détectés sur Internet se trouvaient dans l’espace Internet de vingt pays.

Classement Pays* Nombre d’attaques** % de l’ensemble des attaques
1 United States 240 022 553 25,4%
2 Russian Federation 138 554 755 14,6%
3 Netherlands 92 652 499 9,8%
4 Germany 82 544 498 8,7%
5 Ukraine 47 886 774 5,1%
6 China 46 482 840 4,9%
7 United Kingdom 44 676 036 4,7%
8 British Virgin Islands 26336323 2,8%
9 Canada 19723107 2,1%
10 Sweden 15 472 406 1,6%
11 France 14 706 167 1,6%
12 Romania 12685394 1,3%
13 South Korea 7 220 494 0,8%
14 Czech Republic 6009847 0,6%
15 Latvia 5 371 299 0,6%
16 Spain 5066469 0,5%
17 Japan 3 468 602 0,4%
18 Turkey 3150767 0,3%
19 Brazil 2 712 440 0,3%
20 Belize 2 660 150 0,3%
Ces statistiques reposent sur les verdicts détectés du module Antivirus Internet transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
* Pour définir la source géographique de l’attaque, nous employons une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).
** Total des attaques uniques détectées par l’Antivirus Internet depuis les sites Web dans ces pays.

Les deux premières places sont occupées par les mêmes pays que l’année passée : les Etats-Unis (25,4 %) et la Russie (14,6 %). Il faut signaler que la hausse active de la part d’hébergeurs malveillants enregistrée dans ces pays au cours des années précédentes a cessé. Ceci s’explique par l’intervention des autorités judiciaires et policières dans la lutte contre les réseaux de zombies. Même si le pourcentage d’hébergeurs malveillants dans ces pays a quelque peu reculé, il se maintient toujours à un niveau élevé.

Les mesures strictes appliquées à l’enregistrement de domaines en Chine ont toujours un effet positif. Il y a à peine deux ans, la Chine occupait la tête du classement du nombre de services d’hébergement malveillants avec une grande longueur d’avance sur les autres pays. Plus de la moitié des sources de programmes malveillants sur Internet se trouvait dans ce pays (52 %). Toutefois, au cours de la dernière période couverte par le rapport, ce chiffre est passé à 13 %. En 2011, la part d’hébergeurs malveillants chinois a encore diminué pour atteindre 8,2 % et le pays est passé de la 3e à la 6e position.

Les Pays-Bas et l’Allemagne occupent respectivement la 3e et 4e place du classement. Ceci s’explique en partie par le fait que les services d’hébergement dans ces pays proposent un hébergement bon marché et de qualité qui intéresse non seulement les citoyens honnêtes, mais également les individus malintentionnés.

Lieux de diffusion des liens malveillants

Outre les attaques par téléchargement à la dérobée, les individus malintentionnés disposent de quelques autres méthodes pour attirer les utilisateurs sur un site malveillant : référencement illicite, messages non sollicités dans les réseaux sociaux et publication de liens avec des commentaires attrayants sur des sites fréquentés.

Nous avons identifié les sites exacts via lesquels les utilisateurs participant au KSN ont le plus souvent tenté en 2011 de cliquer sur des liens malveillants. La vingtaine de sites sur lesquels le plus grand nombre d’accès à des liens malveillants a été enregistré a été organisée en différentes catégories.



Catégories du Top 20 des sites au départ desquels les utilisateurs ont le plus souvent tenté de cliquer sur des liens malveillants.
Pourcentage de transferts, 2011

En première position, nous retrouvons divers sites de divertissements proposant des vidéos comme Youtube.

La deuxième position revient aux moteurs de recherche : les utilisateurs cliquent de temps à autres sur des liens malveillants directement depuis les pages de résultats des recherches sur Google ou Yandex.

Les réseaux sociaux se retrouvent en 3e position, avec un pour cent de moins. Il faut être particulièrement prudent lors de l’utilisation de Facebook et Vkontakte car les individus malintentionnés sont très actifs au niveau de la diffusion de contenu malveillant sur ces sites.

En quatrième et cinquième position, nous retrouvons divers réseaux publicitaires (dont des bannières) et des sites de contenu pour adultes.

Applications vulnérables utilisées par les individus malintentionnés

Comme nous l’avons déjà dit ci-dessous, c’est la deuxième année consécutive que les codes d’exploitation sont l’arme principale des cybercriminels pour réaliser les attaques via Internet. L’analyse des codes d’exploitation les plus utilisés a permis d’identifier les applications dont les vulnérabilités ont été le plus souvent mises à profit en 2011 par les pirates afin d’attaquer les ordinateurs des utilisateurs.



Applications dont les vulnérabilités ont été exploitées par des codes d’exploitation Internet, 2011

35 % des incidents impliquant des codes d’exploitation visaient des vulnérabilités dans Adobe Acrobat Reader.

En 2011, la popularité des codes d’exploitation pour le moteur Java a sensiblement augmenté, ce qui signifie que les vulnérabilités dans Java ont occupé la deuxième place parmi les cibles : ils ont été responsables de 25 % des incidents. Signalons que les paquets de code d’exploitation modernes sont composés pour moitié de codes d’exploitation Java.

En troisième position, nous retrouvons les programmes qui exploitent les vulnérabilités des composants Windows. Les représentants les plus marquants sont les codes d’exploitation de la vulnérabilité MS10-042 de 2010 dans Windows Help and Support Center. Les vulnérabilités dans le navigateur Internet Explorer installé par défaut dans toutes les versions de Windows représentent 4 %.

Il est particulièrement intéressant de voir en 6e position avec 4 % les codes d’exploitation pour la plateforme mobile Android OS qui, avant 2011, n’avaient jamais figuré dans un classement de ce genre. Ils permettent tous aux programmes malveillants d’obtenir les privilèges d’administrateur et d’obtenir le contrôle complet du téléphone ou de la tablette (jailbreak).

Pour les infections massives, les individus malintentionnés utilisent activement des vulnérabilités connues depuis longtemps, alors que les vulnérabilités de type 0jour sont utilisées dans le cadre d’attaques ciblées. La raison est assez simple : il existe à travers le monde assez d’ordinateurs qui utilisent des applications et des systèmes d’exploitation dépassés. Ainsi, dans le réseau KSN, 63 % des ordinateurs attaqués tournent sous Windows XP alors que Windows 7 et Vista, les versions plus modernes, n’ont été victimes que de 37 % des incidents.

Menaces locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Ces données concernent les objets qui se sont introduit sur les ordinateurs par d’autres moyens qu’Internet, le courrier ou les messages électroniques.

Nos logiciels antivirus ont découverts plus de 2 367 130 584 incidents liés à des virus sur les ordinateurs membres du Kaspersky Security Network.

1 590 861 programmes malveillants ou potentiellement indésirables ont été recensés dans l’ensemble dans ces incidents.

Top 20 des objets malveillants découverts sur les ordinateurs malveillants

Les programmes malveillants du Top 20 figurent parmi les menaces les plus répandues en 2011.

Classement Objet détecté Nbre d’utilisateurs uniques* %%
1 Trojan.Win32.Generic 12 804 003 24,2%
2 DangerousObject.Multi.Generic 12 327 029 23,3%
3 Net-Worm.Win32.Kido.ih 5 073 357 9,6%
4 Virus.Win32.Sality.aa 4 017 673 7,6%
5 Net-Worm.Win32.Kido.ir 3 927 070 7,4%
6 Virus.Win32.Sality.bh 3 222 166 6,1%
7 Trojan.Win32.Starter.yy 2 985 017 5,7%
8 Worm.Win32.Generic 2 113 422 4,0%
9 Hoax.Win32.ArchSMS.heur 1 771 798 3,4%
10 Virus.Win32.Sality.ag 1 566 186 3,0%
11 Packed.Win32.Katusha.o 1 507 697 2,9%
12 HiddenObject.Multi.Generic 1 416 697 2,7%
13 Virus.Win32.Nimnul.a 1 310 704 2,5%
14 Worm.Win32.VBNA.b 1 136 110 2,2%
15 HackTool.Win32.Kiser.zv 1 102 150 2,1%
16 Hoax.Win32.Screensaver.b 1 067 025 2,0%
17 Packed.Win32.Klone.bq 979 917 1,9%
18 Exploit.Script.Generic 951 659 1,8%
19 Trojan.Script.Iframer 945 149 1,8%
20 AdWare.Win32.HotBar.dh 849 450 1,6%
Ces statistiques sont les verdicts détectés du module Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
* Nombre d’utilisateurs uniques sur les ordinateurs desquels l’antivirus a détecté l’objet en question

Des tentatives d’infection détectées à l’aide de différentes méthodes heuristiques ont été bloquées sur plus de 18 millions d’ordinateurs (18 230 930) : Trojan.Win32.Generic (1re position), Worm.Win32.Generic (8e position), HiddenObject.Multi.Generic (12e position), Exploit.Script.Generic (18 position).

La deuxième place du classement revient à divers programmes malveillants détectés à l’aide de technologies dans le nuage sous le nom DangerousObject.Multi.Generic. Ces technologies interviennent lorsque les bases antivirus ne contiennent pas encore les définitions et qu’il n’est pas possible de détecter le programme malveillant à l’aide de l’analyse heuristique, mais l’éditeur de logiciels antivirus a accès dans le « nuage » aux informations relatives à l’objet. Grâce au système d’identification instantanée des menaces (UDS) intégré à Kaspersky Security Network, plus de 12 millions d’ordinateurs ont pu être protégés en temps réel.

Huit programmes du Top 20 soit possèdent un mécanisme de diffusion automatique, soit interviennent comme une des composantes du mode de diffusion des vers : Net-Worm.Win32.Kido.ih (3e position), Virus.Win32.Sality.aa (4e position), Net-Worm.Win32.Kido.ir (5e position), Virus.Win32.Sality.bh (6e position), Trojan.Win32.Starter.yy (7e position), Virus.Win32.Sality.ag (10e position), Virus.Win32.Nimnul.a (13e position) et Worm.Win32.VBNA.b (14e position).

Près de 2 millions d’utilisateurs (1 771 798) ont été confrontés à des escroqueries à l’aide de SMS surtaxés (Hoax.Win32.ArchSMS.heur, 9e position). Les individus malintentionnés invoquent divers prétextes, en général la promesse de l’accès au contenu d’une archive ou d’un programme d’installation avec un jeu, une application, un livre ou n’importe quoi d’autre, pour amener l’utilisateur à envoyer un SMS à un numéro surtaxé. Dans la majorité des cas, l’utilisateur ne reçoit rien après avoir envoyé le SMS.

Parmi les virus de fichiers classiques, nous retrouvons une nouveauté : Virus.Win32.Nimnul.a. Ce programme malveillant se propage de deux manières : via l’infection de fichiers exécutables et via les disques amovibles grâce à la fonction d’exécution automatique. Il se propage principalement dans des pays d’Asie tels que l’Inde (21 %), l’Indonésie (16 %), le Viet Nam (18 %) ou le Bangladesh (10 %) où les systèmes d’exploitation sont rarement mis à jour et où tous les ordinateurs sont loin d’être équipés d’un logiciel de protection. La charge utile principale du programme malveillant est la porte dérobée Backdoor.Win32.IRCNite.yb qui établit une connexion à un serveur distant et qui enrôle l’ordinateur de la victime dans un réseau de zombies.

L’obfuscation et le compactage demeurent des méthodes de protection populaires adoptées par les individus malintentionnés pour empêcher la détection de leurs programmes : ainsi, on retrouve en 11e, 14e et 17e position des programmes qui remplissent ces fonctions et qui appartiennent aux familles Katusha, VBNA et Klone. Il est intéressant de noter que ces trois programmes ont été découverts pratiquement en même temps : entre la fin du mois d’août et le début du mois de septembre 2010.

”Représentation du monde”

Une des questions les plus intéressantes à laquelle les statistiques nous permettent de répondre, c’est de savoir dans quels pays les utilisateurs ont-ils été le plus souvent confrontés à des cybermenaces. Ce chiffre indique le niveau d’agressivité du milieu dans lequel l’ordinateur fonctionne.
Pour évaluer le risque d’infection auquel sont exposés les ordinateurs dans différents pays du monde, nous avons calculé, pour chaque pays, la fréquence de déclenchement de l’antivirus chez ses utilisateurs au cours de l’année 2011.

Menaces sur Internet

Classement Pays % d’utilisateurs uniques*
1 Russian Federation 55,9
2 Oman 54.8
3 United States 50,1
4 Armenia 49,6
5 Belarus 48,7
6 Azerbaijan 47,5
7 Kazakhstan 47,0
8 Iraq 45,4
9 Ukraine 45,1
10 Guinea-Bissau 45,1
11 Malaysia 44,4
12 Sri Lanka 44,2
13 Saudi Arabia 43,9
14 India 43,8
15 Sudan 43,5
16 United Kingdom 43,2
17 Tajikistan 43,1
18 Qatar 42,4
19 Kuwait 42,3
20 Canada 42,1
Ces statistiques reposent sur les verdicts détectés du module Antivirus Internet transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques. Pour les calculs, nous avons exclus les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
*Pourcentage d’utilisateurs uniques soumis à des attaques via Internet par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

En 2011, nous avons pu observer une modification du rapport entre les pays développés et les pays en développement dans le Top 20. L’année dernière, ce classement comptait un seul pays développé (les Etats-Unis). En 2011, l’Angleterre et le Canada sont venus rejoindre les Etats-Unis.

Des changements sont survenus au niveau du trio de tête. Au cours de l’année dernière, le niveau de risque lors de l’utilisation d’Internet en Irak a sensiblement diminué et est passé de 61,8 % à 45,4 %. Ce pays est passé de la 1re à la 8e place dans notre classement. La Russie, quant à elle, a progressé de la troisième à la première place (+2,2 %) : le nombre d’utilisateurs victimes d’attaque pendant la navigation sur Internet a atteint 55,9 %. Oman conserve sa deuxième position avec 54,8 % Les Etats-Unis quant à eux sont passés de la 5e à la 3e position (depuis 50,1 %). Une grande part des attaques contre les utilisateurs américains en 2011 a été organisée à l’aide de sites compromis à l’aide du paquet de codes d’exploitation « BlackHole Exploit Pack ». En cas de réussite, cette attaque peut installer toute une ménagerie de programmes malveillants sur l’ordinateur : le cheval de Troie d’attaque de comptes en banque Zbot (Zeus), des portes dérobées cliqueurs à plusieurs fonctions ZeroAccess, de faux antivirus et des programmes de chantage.

Tous les pays peuvent être classés selon le risque d’infection pendant la navigation sur Internet.

  1. Groupe à risque élevé.
    Ce groupe où le risque est compris entre 41 et 60 % reprend 22 pays. Outre les pays du Top 20, ce groupe reprend également l’Australie (41,5 %) et la Chine (41,4 %).
  2. Groupe à risque.
    Ce groupe où le risque est compris entre 21 et 40 % reprend 118 pays dont la Chine (38,9 %), les Emirats Arabes Unis (38,2 %), la France (37 %), la Suède (32 %), les Pays-Bas (37,1 %) et l’Allemagne (26,6 %).
  3. Groupe des pays les plus sûrs en termes de navigation sur Internet (0 à 20 %).
    En 2011, ce groupe a accueilli 9 pays : l’Éthiopie (20,5 %), Haïti (20,2 %), Danemark (19,9 %), Niger (19,9 %), Togo (19,6 %), Burundi (18,6 %), Zimbabwe (18,6 %), Bénin (18 %) et Mianmar (17,8 %).

Les changements les plus marquants on eut lieu dans ce dernier groupe de pays : sa composition a pratiquement été complètement chamboulée. L’Allemagne, le Japon, le Luxembourg, l’Autriche et la Norvège, dont les indices pour l’année 2010 tournaient entre 19 et 20 % sont passés dans le groupe à risque. A l’exception du Danemark, le groupe des pays sûrs ne contient pratiquement que des nouvelles entrées au classement.

Il faut signaler que les pays qui figurent dans le groupe des pays sûrs pour la navigation sur Internet se retrouvent dans les groupes à risque élevé ou maximum pour les menaces locales. Leur présence dans le groupe de pays où la navigation sur Internet est sûre s’explique par le caractère de la diffusion des fichiers dans ces pays : Internet n’est pas encore très développé dans ces pays et les utilisateurs ont adopté en grande majorité les lecteurs amovibles pour le transfert de fichiers. Ainsi, nos radars ne détectent pratiquement aucune menace Internet dans ces pays, mais un large pourcentage d’utilisateurs est confronté à des virus et des vers qui se propagent via des fichiers infectés sur des lecteurs amovibles.

Globalement, le niveau de danger sur Internet dans le monde a augmenté de 2 % pour atteindre 32,3 %. Le passage de nombreux pays européens et du Japon dans le groupe de pays à risque est inquiétant : ce sont précisément les utilisateurs dans ces pays que les individus malintentionnés professionnels ciblent.

Menaces locales

Outre les infections via Internet, nous disposons également de données sur la détection de programmes malveillants découverts directement sur les ordinateurs des utilisateurs ou sur des lecteurs amovibles (clés USB, carte mémoire d’appareil photo ou de téléphone, disque amovible) connectés aux ordinateurs. Ces statistiques indiquent le degré d’infection des ordinateurs dans différents pays.

Classement Pays %*
1 Sudan 94.6%
2 Bangladesh 92.6%
3 Iraq 81.0%
4 Tanzania 80.8%
5 Angola 79.4%
6 Rwanda 78.5%
7 India 77.5%
8 Nepal 77.1%
9 Uganda 75.5%
10 Sri Lanka 74.6%
11 Oman 74.3%
12 Malawi 73.9%
13 Indonesia 73.6%
14 Afghanistan 73.6%
15 Mongolia 72.9%
16 Nigeria 71.9%
17 Mauritania 71.8%
18 Maldives 71.7%
19 Iran 71.5%
20 Ethiopia 70.7%
Ces statistiques reposent sur les verdicts détectés du module Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques. Pour les calculs, nous avons exclus les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
*Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Le Top 20 pour l’année 2011 est composé de pays d’Afrique et d’Asie. La situation est inquiétante dans certains pays, par exemple au Soudan et au Bangladesh où 9 ordinateurs sur 10 au cours de l’année ont été infectés au moins une fois par un programme malveillant. Les connaissances superficielles des utilisateurs sur les menaces informatiques et la culture peu développée en matière d’utilisation de logiciels antivirus rendent les ordinateurs dans ces pays particulièrement vulnérables aux programmes malveillants.

Dans le cas des menaces locales, nous pouvons également répartir les pays en différentes catégories. Par rapport à l’année dernière, nous avons modifié la méthode de calcul et nous avons tenus compte des données relatives aux menaces découvertes par l’analyse à la demande qui porte sur les disques durs et les supports externes. En conséquence, le niveau général d’infection a augmenté et nous avons redéfinis les seuils des différentes catégories pour pouvoir mieux rendre compte de la situation.

  1. Niveau maximum d’infection (supérieur à 75%) : 9 pays d’Asie et d’Afrique.
  2. Niveau d’infection élevé (56 à 60 %) : 70 pays dont les Philippines (61 %), la Russie (60,6 %), l’Equateur (57,8 %), la Colombie (57,7 %) et la Chine (57,5 %).
  3. Niveau d’infection moyen (35 à 40 %) : 55 pays dont le Mexique (55 %), la Turquie (55 %), le Brésil (54,1 %), la Roumanie (48,6 %), l’Espagne (44,9 %), les Etats-Unis (40,2 %), l’Australie (39,1 %), la France (37,9 %), le Canada (37,4 %) et l’Angleterre (37 %).
  4. Niveau d’infection moyen (0 à 40 %) : 14 pays.

Pays dont le pourcentage d’ordinateurs infectés est minime :

Classement Pays* %
1 Denmark 20,6
2 Japan 21,1
3 Germany 25,3
4 Finland 26,3
5 Czech Republic 27
6 Switzerland 27,6
7 Luxembourg 27,9
8 Austria 28,4
9 Sweden 28,8
10 Norway 29,5
11 Netherlands 29,7
12 Belgium 32,3
13 Slovenia 32,7
14 New Zealand 34,7

Malgré la modification de la méthodologie, le groupe des pays les plus sûrs n’a pratiquement pas changé par rapport à l’année dernière.

Attaques de réseau

Le pare-feu est un élément incontournable de tout logiciel de protection moderne. Il permet de bloquer les attaques contre l’ordinateur lancées de l’extérieur mais pas via le navigateur. Il protège également l’utilisateur contre les tentatives de vol de ses données.

Kaspersky Internet Security contient un pare-feu avec une fonction de détection des paquets entrants (IDS) dont beaucoup sont des codes d’exploitation qui utilisent des vulnérabilités dans les services de réseau des systèmes d’exploitation et capables d’infecter les systèmes qui ne possèdent pas les correctifs requis ou de donner à l’individu mal intentionné un accès complet à l’ordinateur.

En 2011, nos systèmes de protection contre les attaques de réseau ont déjoué 2 656 409 669 tentatives d’intrusion non autorisée sur les ordinateurs, soit le double de l’année dernière.

Top 20 des attaques malveillants

Classement Nom % de tentatives d’infection uniques*
1 Intrusion.Win.MSSQL.worm.Helkern 67,7%
2 Intrusion.Win.NETAPI.buffer-overflow.exploit 24,7%
3 DoS.Generic.SYNFlood 14,6%
4 Scan.Generic.UDP 8,7%
5 Scan.Generic.TCP 3,9%
6 Intrusion.Win.DCOM.exploit 2,0%
7 Intrusion.Win.LSASS.exploit 1,8%
8 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 1,3%
9 DoS.Generic.ICMPFlood 1,2%
10 DoS.Win.ICMP.BadCheckSum 0,8%
11 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 0,8%
12 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 0,4%
13 DoS.Generic.PingOfDeath 0,4%
14 Intrusion.Generic.WebApp.DirTravers.exploit 0,4%
15 Intrusion.Win.EasyAddressWebServer.format-string.exploit 0,4%
16 Intrusion.Win.PnP.exploit 0,2%
17 Intrusion.Win.CVE-2010-2729.a.exploit 0,1%
18 Intrusion.Win.MSFP2000SE.exploit 0,1%
19 Intrusion.Unix.Efscsar.buffer-overflow.exploit 0,1%
20 Intrusion.Win.MSSQL.preauth.buffer-overflow.exploit 0,1%
Ces statistiques reposent sur les verdicts détectés du module IDS transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
* Part de tous les incidents uniques recensés par IDS sur les ordinateurs des utilisateurs.

Le leader est une fois de plus le ver Slammer (Helkern). Il a adopté un comportement très étrange tout au long de l’année : il a tout simplement disparu des écrans de radar pendant certaines semaines avant de réapparaître de manière inattendue.

Le leader de l’année dernière, Intrusion.Win.NETAPI.buffer-overflow.exploit, a reculé à la deuxième position. Pour rappel, il s’agit d’un code d’exploitation de la vulnérabilité MS08-067 qui fut appliqué pour la première fois dans le ver Kido, puis dans le tristement célèbre ver Stuxnet.

La majeure partie du classement est composée de codes d’exploitation connus de longue date qui se propagent depuis plusieurs années depuis les ordinateurs infectés. L’ampleur du nombre de tentatives d’infection via le réseau est un rappel du nombre très élevé d’ordinateurs connectés à Internet sans la moindre protection.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *