Bulletin de Kaspersky sur la sécurité en 2013 Principales statistiques pour 2013

Sommaire

Cette partie du Bulletin de Kaspersky sur la sécurité en 2013 a été rédigée sur la base de données obtenues et traitées à l’aide de Kaspersky Security Network (KSN). Le KSN, qui est une des technologies les plus importantes de Kaspersky Lab, utilise une architecture dématérialisée dans les logiciels destinés aux particuliers et aux entreprises.

Les statistiques présentées dans le rapport reposent sur les données obtenues via les logiciels de Kaspersky Lab dont les utilisateurs ont accepté de transmettre des données statistiques.

Chiffres de l’année

  • D’après les données de KSN, en 2013, les produits de Kaspersky Lab ont bloqué  5 188 740 554  attaques malveillantes menées contre des ordinateurs et des appareils mobiles.
  • 104 427 modifications de programmes malveillants pour appareils mobiles ont été détectées.
  • Les solutions de Kaspersky Lab ont déjoué 1 700 870 654 attaques organisées depuis divers sites répartis à travers le monde.
  • Nos solutions antivirus ont détecté près de 3 milliards d’attaques de virus sur les ordinateurs de nos utilisateurs. 1,8 millions de programmes malveillants ou potentiellement indésirables ont été recensés dans l’ensemble de ces incidents.
  • 45% des attaques Internet bloquées par nos produits ont été organisées depuis des ressources malveillantes situées aux Etats-Unis et en Russie.

Menaces sur les appareils mobiles

Le monde des appareils mobiles est le domaine dans lequel la sécurité informatique se développe le plus vite. En 2013, la problématique de la sécurité de ces appareils a été en tête des préoccupations et ceci s’explique par la progression des menaces pour appareils mobiles en termes de quantité et de qualité. Alors que l’année 2011 avait été l’année de l’émergence de ces menaces, principalement pour Android et que 2012 avait été placée sous le signe du développement de leur diversité, 2013 devait être l’année où ces menaces ont atteint leur maturité. Il n’est pas étonnant que le microcosme des programmes malveillants pour appareils mobiles ressemble de plus en plus à celui des menaces pour ordinateurs du point de vue des méthodes et des technologies adoptées par les cybercriminels. Ce qui frappe surtout c’est la vitesse à laquelle ce développement se déroule.

Cette année, les réseaux de zombies composés d’appareils mobiles sont devenus une réalité. Obad aura peut-être été l’événement le plus marquant dans ce domaine. Ce cheval de Troie pour appareil mobile se propage à l’aide de différents moyens, notamment par le biais d’un réseau de zombies déjà en place. Les smartphones infectés par Trojan-SMS.AndroidOS.Opfake.a sont utilisés en tant que vecteur d’infection complémentaire. Des messages contenant des liens malveillants sont envoyés à tous les contacts enregistrés sur ces smartphones. Cette pratique est très fréquente parmi les menaces qui ciblent les ordinateurs personnels et elle figure souvent parmi les services que proposent les gestionnaires de réseaux de zombies dans le monde clandestin des cybercriminels.

A première vue, les réseaux de zombies composés d’appareils mobiles possèdent de sérieux avantages sur les réseaux de zombies traditionnels. Tout d’abord, ils sont plus stables : un smartphone est rarement éteint, ce qui signifie que tous les nœuds du réseau de zombies sont prêts à recevoir et à exécuter de nouvelles instructions. Parmi les principales tâches exécutées à l’aide de réseaux de zombies traditionnels, citons la diffusion massive de messages non sollicités, l’organisation d’attaques DDoS et la surveillance des informations personnelles des utilisateurs. Ces tâches ne requièrent qu’une petite partie de la puissance de calcul des appareils et par conséquent, elles peuvent être réalisées sans difficultés sur des smartphones. Le réseau de zombies MTK, apparu au début de l’année 2013, ainsi que le réseau de zombies Opfake et de nombreux autres confirment que les réseaux de zombies composés d’appareils nomades représentent plus qu’une simple "plaine de jeux" pour les cybercriminels. Ils sont déjà exploités pour atteindre un seul objectif : permettre aux cybercriminels de gagner de l’argent.

Evénements marquants

  1. Chevaux de Troie bancaires pour appareils nomades. Ceci concerne le phishing mobile, le vol d’informations de cartes de crédit, le transfert d’argent depuis une carte bancaire vers le compte de téléphonie mobile et de là, vers un porte-monnaie QIWI. On aura même vu en 2013 des chevaux de Troie pour appareils mobiles capables de vérifier le solde du compte de la victime afin que le "revenu" soit maximum.
  2. Réseaux de zombies mobiles. Comme nous l’avons dit plus haut, les réseaux de zombies offrent de grandes possibilités et sont très souples dans le cadre de l’utilisation de plans illégaux pour gagner de l’argent. Ce phénomène concerne désormais également les appareils mobiles. D’après nos estimations, près de 60 % des programmes malveillants présentent des éléments de grands ou de petits réseaux de zombies composés d’appareils mobiles.
  3. Backdoor.AndroidOS.Obad. Ce programme malveillant est peut-être le plus universel des programmes malveillants enregistrés à ce jour. Il comprend trois codes d’exploitation, une porte dérobée, un cheval de Troie par SMS, des fonctionnalités de bot, etc. C’est en quelque sorte un couteau suisse doté des outils les plus divers.
  4. Contrôle des réseaux de zombies via Google Cloud Messaging. Les cybercriminels ont identifié le moyen d’utiliser Google Cloud Messaging (GCM) pour contrôler les appareils zombies. Cette méthode est utilisée dans un nombre relativement restreint de programmes, mais certains d’entre eux sont malgré tout fortement répandus. L’exécution des commandes obtenues via GCM est réalisée par le système GCM et il est impossible de les bloquer directement sur l’appareil infecté.
  5. Attaques de type APT contre des activistes ouïghours. Nous avons vu que les attaques ciblées contre les activistes ouïghours reposent sur des programmes malveillants écrits sous Windows et sous Mac OS X. Il y a déjà eu des cas d’attaques via des fichiers PDF, XLS, DOC et ZIP diffusés par courrier électronique. Les individus malintentionnés ont ajouté à leur arsenal des fichiers APK qui surveillent les données personnelles enregistrées sur l’appareil de la victime et qui peuvent communiquer également la géolocalisation de l’utilisateur.
  6. Vulnérabilités dans Android. Nous avons observé en 2013 des codes d’exploitation qui visaient Android et qui poursuivaient trois objectifs : contourner l’analyse du code de l’application lors de l’installation (connu également en tant que vulnérabilité de la clé principale), augmenter les privilèges et compliquer l’analyse de l’application. Les deux derniers se retrouvent également dans Obad.
  7. Attaque contre un ordinateur de bureau à l’aide d’un appareil Android. Ils existent des menaces contre les ordinateurs personnels qui peuvent infecter également des smartphones, mais nous avons détecté un programme malveillant sous Android capable d’infecter l’ordinateur personnel. Le contenu malveillant est exécuté quand l’appareil Android se connecte à l’ordinateur en mode support USB.

Statistiques

S’agissant des systèmes d’exploitation pour appareils mobiles qui sont le plus visés par les programmes malveillants, l’année 2013 n’introduit aucune modification sensible. Android demeure toujours la principale cible des attaques malveillantes : 98,05 % des programmes malveillants connus visent Android. Comme le montre le graphique ci-dessous, aucun autre système d’exploitation n’est proche de lui en terme de "popularité". Ceci s’explique par trois raisons : la position dominante d’Android sur le marché, l’existence de magasins d’applications tiers et l’architecture relativement ouverte de ce système qui simplifie la création d’applications ou de programmes malveillants. Nous ne pensons pas que cette tendance va se maintenir à court terme.

 
Distribución de los programas maliciosos por plataformas

A ce jour, nous avons pu récolter 8 260 509 paquets d’installation de programmes malveillants uniques. Il convient d’indiquer que différents paquets d’installation peuvent installer des programmes dotés de fonctionnalités identiques. La différence se manifeste uniquement au niveau de l’interface de l’application malveillante ou, par exemple, du contenu des SMS qu’il envoie.

Notre collection compte 148 778 exemplaires de programmes malveillants pour appareils mobiles, dont 104 427 qui furent découverts en 2013. Rien qu’au mois d’octobre, nous avons recensé 19 966 modifications. Kaspersky Lab avait détecté la moitié de ce chiffre sur l’ensemble de l’année 2012. Heureusement, la situation n’a encore rien à voir avec la situation observée dans le milieu des programmes malveillants pour ordinateurs personnels où nous traitons plus de 315 000 exemplaires par jour. Ceci étant dit, la tendance vers l’intensification de la croissance est bien visible :

 
Nombres d’exemplaires dans notre collection

Les chevaux de Troie par SMS mènent une fois de plus le classement des programmes mobiles.

 
Répartition des programmes malveillants pour appareils nomades en fonction du comportement

Ceci étant dit, les programmes malveillants de la catégorie Trojan-SMS ont évolué, à de rares exceptions près, en bot. C’est pourquoi nous pouvons sans craindre réunir les deux leaders du diagramme au sein d’une seule catégorie : porte dérobée. Il en ressort que 62% des programmes malveillants sont des éléments de réseaux de zombies mobiles.

Conclusions

  1. Toutes les techniques et les mécanismes d’infection et de dissimulation de l’activité des programmes malveillants ont été très vite adaptées du PC à la plateforme Android. Ceci s’explique par la popularité d’Android et son caractère ouvert. 
  2. La majorité des programmes malveillants pour appareils nomades cherchent à voler de l’argent. Le vol de données personnelles ne figurent qu’en deuxième position.
  3. La majorité des programmes malveillants pour appareils nomades sont des bots dotés de riches fonctions. La commercialisation de réseaux de zombies pour appareils nomades devrait commencer prochainement.
  4. Il existe une tendance nette de développement "bancaire" des programmes malveillants pour appareils nomades. Les auteurs de virus suivent l’évolution des services de transactions bancaires via appareils nomades. Dès qu’un smartphone est infecté, les auteurs de virus vérifient tout de suite si le téléphone est associé à une carte bancaire.

Applications vulnérables utilisées par les individus malintentionnés

Le classement des applications vulnérables repris ci-après repose sur les données relatives aux codes d’exploitation bloqués par nos produits et utilisés par des individus malintentionnés dans le cadre d’attaques via Internet ou lors de la compromission d’applications locales, y compris sur les appareils mobiles des utilisateurs.

 

Applications vulnérables utilisées par les individus malintentionnés

90,52 % des tentatives d’exploitation de vulnérabilités que nous avons enregistrées portaient sur des vulnérabilités dans Oracle Java. Ces vulnérabilités sont exploitées dans des attaques par téléchargement à la dérobée via Internet et de nouveaux codes d’exploitation Java figurent dans une multitude de kits d’exploitation. Nous avons publié un article sur les codes d’exploitation Java.

En deuxième position, nous retrouvons la catégorie "Composants Windows" qui reprend les fichiers vulnérables des familles de système d’exploitation Windows, à l’exception d’Internet Explorer et des applications Office qui possèdent leur propre catégorie. Au sein de cette catégorie, le plus grand nombre d’attaques touche la vulnérabilité CVE-2011-3402 détectée dans win32k.sys qui avait été exploitée pour la première fois par Duqu.

Les codes d’exploitation pour Android occupent la troisième position avec 2,5 %. Les individus malintentionnés (et parfois les utilisateurs eux-mêmes) exploitent les vulnérabilités sous Android afin d’obtenir les autorisations root qui lèvent pratiquement toutes les restrictions sur les manipulations du système. Ces vulnérabilités n’interviennent pas dans les attaques par téléchargement à la dérobée et les codes d’exploitation qui les concernent sont détectés soit par l’Antivirus Internet lorsque l’utilisateur tente de télécharger une application avec un code d’exploitation, soit par l’Antivirus Fichiers quand un code d’exploitation se trouve déjà sur l’appareil. Il convient de citer ici la diffusion récente d’informations sur l’existence d’une vulnérabilité dans le navigateur Chrome sur Nexus 4 et Samsung Galaxy S4 qui pourrait entraîner l’utilisation à l’avenir des vulnérabilités Android dans le cadre d’attaques par téléchargement à la dérobée.

 
Répartition du système d’exploitation Windows par version en 2013

61,5 % des utilisateurs de nos produits qui ont accepté de participer au KSN utilisent différentes versions du système d’exploitation Windows 7 (5 % de plus que l’année dernière), 6,3 % utilisent Windows XP (7,75 % de moins qu’en 2012).

Programmes malveillants sur Internet (attaques via Internet)

Les données statistiques présentées dans ce chapitre ont été obtenues via l’antivirus Internet qui protège les utilisateurs au moment de télécharger des objets malveillants depuis une page infectée. Les sites malveillants sont des sites créés spécialement par des individus malintentionnés ; les sites infectés peuvent être des sites dont le contenu est fourni par les internautes (par exemple, des forums) ou des ressources légitimes qui ont été compromises.

Le nombre d’attaques organisées depuis des ressources Internet réparties à travers le monde est passé en un an de 1 595 587 670 à  1 700 870 654. Dans ce contexte, nos produits ont protégé les utilisateurs sur Internet 4 659 920 fois par jour en moyenne.

Par rapport à l’année dernière, le taux de croissance du nombre d’attaques menées via un navigateur a diminué. Le nombre d’attaques via Internet repoussées en 2013 est de 1,07 fois supérieur à celui de 2012. En 2012, nous avions noté une multiplication du taux de croissance de 1,7. Le mode d’attaque principal, via des kits d’exploitation, garantit à coup sûr l’infection des ordinateurs si ceux-ci ne sont dotés d’aucune protection et si au moins une application populaire et vulnérable (non mise à jour) y est installée.

Top des programmes malveillants sur Internet

Parmi tous les programmes malveillants impliqués dans ces attaques contre les ordinateurs des utilisateurs via Internet, nous avons identifié les 20 programmes les plus actifs. Ils sont responsables de 99,9% de toutes les attaques sur Internet.

  Nom* % de l’ensemble des attaques**
1 Malicious URL 93,01%
2 Trojan.Script.Generic 3,37%
3 AdWare.Win32.MegaSearch.am 0,91%
4 Trojan.Script.Iframer 0,88%
5 Exploit.Script.Blocker 0,49%
6 Trojan.Win32.Generic 0,28%
7 Trojan-Downloader.Script.Generic 0,22%
8 Trojan-Downloader.Win32.Generic 0,10%
9 Hoax.SWF.FakeAntivirus.i 0,09%
10 Exploit.Java.Generic 0,08%
11 Exploit.Script.Blocker.u 0,08%
12 Exploit.Script.Generic 0,07%
13 Trojan.JS.Iframe.aeq 0,06%
14 Packed.Multi.MultiPacked.gen 0,05%
15 AdWare.Win32.Agent.aece 0,04%
16 WebToolbar.Win32.MyWebSearch.rh 0,04%
17 AdWare.Win32.Agent.aeph 0,03%
18 Hoax.HTML.FraudLoad.i 0,02%
19 AdWare.Win32.IBryte.heur 0,02%
20 Trojan-Downloader.HTML.Iframe.ahs 0,02%

 

* Verdicts détectés du module Antivirus Internet. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l’envoi des statistiques.
** Pourcentage de l’ensemble des attaques via Internet enregistrées sur les ordinateurs d’utilisateurs uniques.

Par rapport à 2012, la part de verdicts liés au blocage de liens malveillants repris dans la liste noire de l’antivirus a augmenté (1ère position : Malicious URL). Le développement de nouvelles technologies de détection qui reposent sur les possibilités offertes par le KSN a permis de faire passer la part des menaces détectées de cette manière de 87 à 93% en un an. Une part considérable de détections Malicious URL concerne des sites avec des codes d’exploitation et des sites qui redirigent les internautes vers des codes d’exploitation.

7 positions du Top 20 sont occupées par des verdicts attribués aux objets malveillants qui interviennent dans les attaques par téléchargement à la dérobée, le mode de diffusion des programmes malveillants par Internet le plus populaire. Il s’agit de verdict heuristique comme Trojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan-Downloader.Script.Generic, Exploit.Java.Generic, Exploit.Script.Generic et de verdicts non-heuristiques. Ces verdicts sont attribués non seulement aux scripts qui redirigent vers des codes d’exploitation, mais également aux codes d’exploitation eux-mêmes.

Hoax.SWF.FakeAntivirus.i occupe la neuvième position. C’est sous cette catégorie que sont détectés les fichiers Flash avec des animations qui imitent le fonctionnement d’un logiciel antivirus. A l’issue de "l’analyse", il ressort que l’ordinateur est "infecté" par une énorme quantité de programmes malveillants. Pour supprimer ces programmes, les individus malintentionnés proposent une solution de protection spéciale. Il suffit à la victime d’envoyer un SMS à un numéro surtaxé afin de recevoir un lien qui permettra de télécharger un logiciel antivirus. Ces fichiers Flash peuvent se trouver sur des sites qui affichent des bannières de réseau de publicités dont les participants n’hésitent pas de temps à autre à pratiquer la redirection vers du contenu indésirable.

Hoax.HTML.FraudLoad.i, en dix-huitième position, reprend les pages HTML qui imitent la fenêtre traditionnelle de téléchargement d’un fichier :

 

De nombreux sites russophones qui proposent un contenu hétérogène à télécharger comme des jeux, des applications ou des films (dans la majorité des cas, ces sites se trouvent sur des services d’hébergement gratuits) redirigent les internautes vers de telles pages. Quand l’utilisateur clique sur le bouton "Enregistrer le fichier", il est redirigé vers l’hébergement du contenu où il est invité à télécharger un fichier après avoir envoyé un SMS payant. Toutefois, après avoir suivi toutes les instructions, l’utilisateur reçoit, au lieu du contenu recherché, soit un fichier texte expliquant comment utiliser les moteurs de recherche, soit un programme malveillant, ce qui est bien pire.

Par rapport à 2012, les verdicts de logiciels publicitaires ont augmenté. La part totale de ceux-ci dans le Top 20 est passée de 0,3 à 1,04%.

Pays, source d’attaques via Internet : TOP

Ces statistiques montrent la répartition par pays des sources des attaques Internet bloquées par l’Antivirus Internet sur les ordinateurs des utilisateurs (pages Internet avec redirection vers des codes d’exploitation, sites avec des codes d’exploitation et autres programmes malveillants, centres d’administration de réseaux de zombies). Signalons que chaque hôte unique peut être la source d’une ou de plusieurs attaques.

Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

Pour réaliser les 1 700 870 654 d’attaques via Internet recensées, les individus malintentionnés ont utilisé 10 604 273 hôtes uniques, soit une augmentation d’un peu plus de 4 millions par rapport à 2012. 82% des notifications relatives aux attaques Internet bloquées ont été obtenues lors du blocage d’attaques depuis des ressources Internet réparties dans une dizaine de pays, soit 14,1 % de moins qu’en 2012.

 
Répartition par pays des sources d’attaques Internet

Le Top 10 des pays en 2013 n’a pratiquement pas changé par rapport à 2012.  La Chine, qui avait occupé la première position jusqu’en 2010, ne figure plus dans le Top 10 et le Viet Nam a fait son entrée en huitième position. En 2010, les autorités chinoises ont commencé à mettre de l’ordre dans le cyber-espace local : elles ont fermé une multitude d’hébergements malveillants et ont rendu les règles d’enregistrement de domaines dans la zone .cn plus strictes. Suite à cela, la part des hébergements malveillants en Chine a sensiblement diminué. En 2010, la Chine occupait la 3e position. En 2011, elle reculait en 6e position, en 2012 en 8e et à l’issue de l’année 2013, ce pays n’occupait plus que la 21e position du classement.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé sur un an la fréquence de déclenchement de l’Antivirus Internet chez les utilisateurs des logiciels de Kaspersky Lab dans chacun des pays au cours du trimestre. Les données obtenues indiquent le degré d’agressivité de l’environnement dans lequel les ordinateurs fonctionnent dans les divers pays.

Top 20 des pays où le risque d’infection des ordinateurs via Internet est le plus élevé :

  Pays** % d’utilisateurs uniques**
1 Azerbaïdjan 56,29%
2 Kazakhstan 55,62%
3 Arménie 54,92%
4 Russie 54,50%
5 Tadjikistan 53,54%
6 Viet Nam 50,34%
7 Moldavie, République de 47,20%
8 Biélorussie 47,08%
9 Ukraine 45,66%
10 Kirghizstan 44,04%
11 Sri Lanka 43,66%
12 Autriche 42,05%
13 Allemagne 41,95%
14 India 41,90%
15 Ouzbékistan 41,49%
16 Géorgie 40,96%
17 Malaisie 40,22%
18 Algérie 39,98%
19 Grèce 39,92%
20 Italie 39,61%

 

Ces statistiques reposent sur les verdicts détectés du module Antivirus Internet transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
*Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage d’utilisateurs uniques soumis à des attaques via Internet par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Le leader du classement pour 2013 a changé : la première place revient à l’Azerbaïdjan où 56,3 % des utilisateurs ont été exposés à des attaques Internet. La Russie, qui a mené deux années consécutives, a reculé en 4e position avec 54,5 % (soit 4,1 % de moins que l’année dernière).

Les Etats-Unis, l’Espagne, Oman, le Soudan, le Bangladesh, les Maldives et le Turkménistan ne figurent plus dans le Top 20. Parmi les entrées, citons l’Autriche, l’Allemagne, la Grèce, la Géorgie, le Kirghizistan, le Viet Nam et l’Algérie.

Les Etats-Unis reculent de la 19e à la 25e position. L’indice pour ce pays a reculé de 7% pour atteindre 38,1%. Pour rappel, il y a deux ans, ce pays occupait la deuxième position au niveau des menaces par Internet. La réduction du risque d’infection des ordinateurs via Internet aux Etats-Unis est peut-être liée à la croissance de la popularité de la navigation via les appareils mobiles chez les Américains. L’Espagne, qui refermait le Top 20 en 2012, se retrouve à la 31e position en 2013 (36,7%, 8% de moins que l’année dernière).

L’Autriche (+8%) arrive tout de suite en 12e position, l’Allemagne (+9,3%) occupe la 13e position et la Grèce, (-1,6%) est en 19e position. L’Italie referme le Top 20 (-6%).

Tous les pays peuvent être classés selon le risque d’infection pendant la navigation sur Internet.

  1. Groupe à risque élevé
    Ce groupe où le risque est compris entre 41 et 60 % reprend les 15 premiers pays du Top 20. Il s’agit de la Russie, de l’Autriche, de l’Allemagne, de la majorité des pays de l’espace post-soviétique et de pays d’Asie. Ce groupe a été réduit de plus de 50 % : à l’issue de l’année 2012, il comptait 31 pays.
  2. Groupe à risque
    Ce groupe où le risque est compris entre 21 et 40,99% compte 118 pays dont :
    Australie (38,9 %), Etats-Unis (38,1 %), Canada (36,5 %);
    Italie (39,6 %), France (38,1 %), Espagne (36,7 %), Grande-Bretagne (36,7 %), Pays-Bas (27,3 %), Finlande (23,6 %),  Danemark (21,8 %);
    Pologne (37,6 %), Roumanie (33,2 %), Bulgarie (24,1 %);
    Brésil (34,6 %), Mexique (29,5 %), Argentine (25 %);
    Chine (32,3 %),  Japon (25,3 %).
  3. Groupe des pays les plus sûrs en terme de navigation sur Internet (0 à 20 %)
    Ce groupe reprenait 25 pays. On y retrouve notamment la République tchèque (20,3 %), la Slovaquie (19,7 %), Singapour (18,5 %) et plusieurs pays africains.

Les pays africains qui figurent dans le groupe des pays les plus sûrs en terme de navigation sur Internet se retrouvent dans les pays au niveau d’infection élevé et moyen pour les menaces locales (cf. ci-dessous). Internet n’est pas encore très développé dans ces pays et les utilisateurs ont adopté en grande majorité les lecteurs amovibles pour le transfert de fichiers. C’est la raison pour laquelle le pourcentage d’utilisateurs exposés aux menaces sur Internet dans ces pays est faible alors que les programmes malveillants propagés via les supports amovibles sont souvent détectés sur ces ordinateurs.

 

En moyenne, le danger représenté par Internet a diminué de 6,9 %. En 2013, 41,6 % des ordinateurs des Internautes avaient été exposés au moins une fois à une attaque sur Internet. Internet demeure la principale source d’objets malveillants pour les utilisateurs dans la majorité des pays.

Menaces locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Ces données concernent les objets qui se sont introduits sur les ordinateurs par d’autres moyens qu’Internet, le courrier électronique ou les ports réseau.

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

Nos logiciels antivirus ont découvert près de 3 milliards d’incidents liés à des virus sur les ordinateurs membres du Kaspersky Security Network.

1,8 millions de programmes malveillants ou potentiellement indésirables ont été recensés dans ces incidents.

Top des objets malveillants découverts sur les ordinateurs des utilisateurs

  Nom % d’utilisateurs uniques attaqués*
1 DangerousObject.Multi.Generic 27,8%
2 Trojan.Win32.Generic 27,1%
3 Trojan.Win32.AutoRun.gen 13,9%
4 Virus.Win32.Sality.gen 9,4%
5 Exploit.Win32.CVE-2010-2568.gen 6,8%
6 AdWare.Win32.DelBar.a 5,5%
7 Trojan.Win32.Starter.lgb 4,7%
8 Virus.Win32.Nimnul.a 4,0%
9 Worm.Win32.Debris.a 3,9%
10 Virus.Win32.Generic 3,7%
11 Trojan.Script.Generic 3,6%
12 Net-Worm.Win32.Kido.ih 3,5%
13 AdWare.Win32.Bromngr.i 3,1%
14 Net-Worm.Win32.Kido.ir 3,0%
15 Trojan.Win32.Starter.yy 2,7%
16 DangerousPattern.Multi.Generic 2,7%
17 HiddenObject.Multi.Generic 2,6%
18 Trojan.Win32.Hosts2.gen 2,5%
19 AdWare.Win32.Agent.aeph 2,5%
20 Trojan.WinLNK.Runner.ea 2,4%

 

Ces statistiques sont les verdicts détectés par les modules OAS et ODS de l’Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.

* Pourcentage d’utilisateurs uniques sur les ordinateurs desquels l’Antivirus a détecté l’objet en question, par rapport à l’ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l’Antivirus s’est déclenché.

Le verdict DangerousObject.Multi.Generic utilisé pour les programmes malveillants détectés à l’aide du Cloud ont progressé cette année de la 2e à la 1re position. Ces technologies interviennent lorsque les bases antivirus ne contiennent pas encore les définitions et qu’il n’est pas possible de détecter le programme malveillant à l’aide de l’analyse heuristique, mais l’éditeur de logiciels antivirus dispose déjà dans le « nuage » d’informations relatives à l’objet. En général, c’est ainsi que sont détectés les programmes malveillants les plus récents. Grâce au système d’identification instantanée des menaces (UDS) intégré à Kaspersky Security Network, plus de 11 millions d’ordinateurs ont pu être protégés en temps réel.

La deuxième place est occupée par le verdict heuristique Trojan.Win32.Generic, le leader de l’année dernière.

Exploit.Win32.CVE-2010-2568.gen (5e position) et Trojan.WinLNK.Runner.ea (20e position) sont des détections de fichiers lnk malveillants (liens). Dans les fichiers lnk de ces familles, un autre fichier exécutable malveillant est exécuté. Ils sont utilisés activement par les vers dans le cadre de la propagation via des clés USB.

Huit programmes du Top 20 soit possèdent un mécanisme de diffusion automatique, soit interviennent comme une des composantes du mode de diffusion des vers : Virus.Win32.Sality.gen (4e position), Trojan.Win32.Starter.lgb (7e position), Virus.Win32.Nimnul.a (8e position), Worm.Win32.Debris.a (9e position), Virus.Win32.Generic (10e position), Net-Worm.Win32.Kido.ih (12e position), Net-Worm.Win32.Kido.ir (14e position), Trojan.Win32.Starter.yy (15e position).

La part des célèbres vers Net-Worm.Win32.Kido (12e et 14e positions), apparus en 2008, se réduit d’année en année au fur et à mesure que les utilisateurs mettent à jour leur système.

Les verdicts de la famille Virus.Win32.Virut ne figurent pas cette année dans le Top 20, mais  les parts des autres représentants des virus, Sality (4e position) et Nimnul (8e position), ont augmenté respectivement de 8,5 et 1,4 %.

La famille Worm.Win32.Debris.a fait son entrée cette année dans le classement en 9e position. Ce ver se propage via les supports amovibles à l’aide de fichiers lnk. La charge utile de ce ver est le programme malveillant Andromeda utilisé pour télécharger des fichiers tiers. Ce programme circule sur le marché noir des auteurs de virus depuis 2011. Toutefois, nous avons placé son nouveau mode d’installation et de diffusion dans une famille distincte.

En 18e position, nous retrouvons le verdict Trojan.Win32.Host2.gen octroyé aux programmes malveillants qui tentent de modifier le fichier spécial hosts en redirigeant les requêtes de l’utilisateur vers un domaine défini sur ses hôtes sous contrôle.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Pour déterminer les pays dans lesquels les utilisateurs sont le plus souvent confrontés aux cybermenaces, nous avons calculé, pour chaque pays, la fréquence de déclenchement de l’antivirus chez ses utilisateurs au cours de l’année 2011. Nous avons également comptabilisé les programmes malveillants découverts directement sur les ordinateurs des utilisateurs ou sur des lecteurs amovibles (clés USB, carte mémoire d’appareil photo ou de téléphone, disque amovible) connectés aux ordinateurs. Ces statistiques indiquent le degré d’infection des ordinateurs dans différents pays.

TOP 20 des pays selon le niveau d’infection des ordinateurs :

  Pays* %**
Viet Nam 68,14%
Bangladesh 64,93%
Népal 62,39%
Mongolie 60,18%
Inde 59,26%
Soudan 58,35%
Afghanistan 57,46%
Algérie 56,65%
Laos 56,29%
Cambodge 55,57%
Irak 54,91%
Djibouti 54,36%
Maldives 54,34%
Pakistan 54,12%
Sri Lanka 53,36%
Mauritania 53,02%
Indonésie 52,03%
Rwanda 51,68%
Angola 50,91%
Égypte 50,67%

 

Ces statistiques reposent sur les verdicts détectés du module Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.

*Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.

* *Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Il y a plus d’un an déjà que le Top 20 des pays selon le niveau d’infection des ordinateurs reprend des pays d’Afrique, du Moyen-Orient et du Sud-Est asiatique. Toutefois, au cours de l’année dernière, la situation s’est globalement améliorée. Alors que l’année dernière, les indices des pays qui menaient le classement dépassaient 99%, l’indice le plus haut enregistré dans le Top 20 2013 ne dépasse pas 70%.

Parmi les pays de ce Top 20, un objet malveillant en moyenne a été trouvé sur un ordinateur (sur le disque dur ou sur un disque amovible connecté) auprès de 60,1% des utilisateurs de KSN qui nous ont fourni ces informations contre 73,8% en 2012.

Dans le cas des menaces locales, nous pouvons répartir les pays en plusieurs catégories. Vu le recul général des menaces locales, lié selon toute vraisemblance à la chute de popularité de l’utilisation de clés USB pour l’échange d’informations, nous avons abaissé les seuils de groupes (par rapport aux statistiques pour l’année 2012.

  1. Niveau maximum d’infection (supérieur à 60%) : Les 4 pays qui mènent le classement : le Viet Nam (68,1 %), le Bangladesh (64,9 %), le Népal (62,4 %) et la Mongolie (60,2 %).
  2. Niveau d’infection élevé (41 à 60 %) : 67 pays dont l’Inde (59,2 %), la Chine (46,7 %), le Kazakhstan (46 %), l’Azerbaïdjan (44,1 %), la Russie (41,5 %) et la majorité des pays d’Afrique.
  3. Niveau d’infection moyen (21 à 40,99 %) : 78 pays
    dont l’Espagne (36 %), France (33,9 %), Portugal (33,1 %), Italie (32,9 %), Allemagne (30,2 %), Etats-Unis (29 %), Grande-Bretagne (28,5 %), Suisse (24,6 %), Suède (21,4 %), Ukraine (37,3 %),
    Brésil (40,2 %), Argentine (35,2 %), Chili (28,9 %), Corée du Sud (35,2 %), Singapour (22,8 %).
  4. Niveau d’infection minimum (0 à 20,99 %) : 9 pays.

 

Voici le Top 10 des pays les plus sûrs en matière d’infection locale :

Classement Pays %
1 Danemark 14,74%
2 République tchèque 15,58%
3 Finlande 15,93%
4 Cuba 17,18%
5 Japon 18,93%
6 Slovaquie 19,24%
7 Slovénie 19,32%
8 Norvège 19,36%
9 Seychelles 19,90%
10 Malte 21,28%

 

Par rapport à 2012, la liste présente une seule modification : l’entrée des Seychelles qui remplacent les Pays-Bas.

En moyenne, dans les dix pays les plus sûrs, 18,8 % des ordinateurs des utilisateurs ont été attaqués au moins une fois au cours de l’année. Par rapport à l’année dernière, cet indice a reculé de 6,6 %.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *