- Bulletin de Kaspersky sur la sécurité en 2009. Développement des menaces en 2009
- Bulletin de Kaspersky sur la sécurité. Principales statistiques pour 2009
- Spam en 2009
Ce rapport a été rédigé sur la base de données obtenues et traitées à l’aide de Kaspersky Security Network. KSN est une des principales nouveautés introduites dans la gamme de produits pour particuliers. Il devrait être prochainement disponible au catalogue de produits pour entreprises de Kaspersky Lab.
Kaspersky Security Network permet à nos experts de découvrir en temps réel les nouveaux codes malicieux pour lesquels il n’existe pas encore de moyen de détection à l’aide de signatures ou d’analyse heuristique. KSN permet d’identifier les sources de propagation des programmes malveillants sur Internet et d’en bloquer l’accès pour les utilisateurs.
De la même manière, KSN permet de réagir très rapidement aux nouvelles menaces. À l’heure actuelle, nous pouvons bloquer l’exécution d’un nouveau programme malveillant sur les ordinateurs des utilisateurs de KSN quelques dixièmes de seconde après la prise de décision sur son caractère nocif et cela, sans le recours à la mise à jour traditionnelle des bases antivirus.
Programmes malveillants sur Internet (attaques via Internet)
Cette étude porte principalement sur la problématique de l’épidémie Gumblar sur Internet. En réalité, cette épidémie n’est que la partie visible de l’iceberg en ce qui concerne les infections via Internet qui depuis quelques années dominent les modes d’infection des ordinateurs.
Dans ce domaine, la cyber criminalité a rapidement évolué pour atteindre la création de réseaux de PC asservis complets composés de sites Web compromis capables de soutenir eux-mêmes leur population.
Les possibilités offertes par les réseaux sociaux sont également largement exploitées. Nos observations indiquent que le niveau de confiance qui existe entre les utilisateurs des réseaux sociaux est très élevé. La probabilité qu’un utilisateur d’un réseau social exécute le fichier que lui proposent ses «amis» ou qu’il clique sur un lien envoyé par un «ami» est 10 fois plus élevée que si le lien était arrivé par courrier électronique. Et les cyber criminels utilisent cette technique pour diffuser des programmes malveillants et du courrier indésirable.
Nous avons évoqué à plusieurs reprises la technologie des téléchargements à la dérobée (drive-by-download). Cette technologie permet d’infecter l’ordinateur à l’insu de l’internaute. En 2009, la situation s’est considérablement détériorée: selon nos observations, ce genre d’attaques a plus que triplé. Il convient de rappeler qu’il s’agit ici de dizaines de millions d’attaques.
A l’aide de Kaspersky Security Network, nous pouvons compter et analyser toutes les tentatives d’infection dont sont victimes nos clients lorsqu’ils utilisent Internet.
A la fin de l’année 2009, KSN avait enregistré 73619767 attaques contre les clients de Kaspersky Lab ayant abouti à une infection (contre 2368064 en 2008). Outre les tentatives de chargement de programmes malveillants ou potentiellement dangereux sur les ordinateurs, on compte 14899238 tentatives d’accès à des sites d’hameçonnage ou risqués bloquées par notre logiciel antivirus.
Top 20 des programmes malveillants sur 2009
Parmi tous les programmes malveillants impliqués dans ces attaques contre les internautes, nous avons identifié les 20 programmes les plus actifs. Chacune de ces 20 menaces a été enregistrée plus de 170000 fois et elle représente plus de 37% (27 443 757) des incidents recensés.
| № | Nom | Nombre d’attaques | % du total |
| 1 | HEUR:Trojan.Script.Iframer | 9858304 | 13,39 |
| 2 | Trojan-Downloader.JS.Gumblar.x | 2940448 | 3,99 |
| 3 | not-a-virus:AdWare.Win32.Boran.z | 2875110 | 3,91 |
| 4 | HEUR:Exploit.Script.Generic | 2571443 | 3,49 |
| 5 | HEUR:Trojan-Downloader.Script.Generic | 1512262 | 2,05 |
| 6 | HEUR:Trojan.Win32.Generic | 1396496 | 1,9 |
| 7 | Worm.VBS.Autorun.hf | 1131293 | 1,54 |
| 8 | Trojan-Downloader.HTML.IFrame.sz | 935231 | 1,27 |
| 9 | HEUR:Exploit.Script.Generic | 752690 | 1,02 |
| 10 | Trojan.JS.Redirector.l | 705627 | 0,96 |
| 11 | Packed.JS.Agent.bd | 546184 | 0,74 |
| 12 | Trojan-Clicker.HTML.Agent.aq | 379872 | 0,52 |
| 13 | HEUR:Trojan-Downloader.Win32.Generic | 322166 | 0,44 |
| 14 | Trojan.JS.Agent.aat | 271448 | 0,37 |
| 15 | Trojan-Downloader.Win32.Small.aacq | 265172 | 0,36 |
| 16 | Trojan-Clicker.HTML.IFrame.ani | 224657 | 0,31 |
| 17 | Trojan-Clicker.JS.Iframe.be | 216738 | 0,3 |
| 18 | Trojan-Downloader.JS.Zapchast.m | 193130 | 0,27 |
| 19 | Trojan.JS.Iframe.ez | 175401 | 0,24 |
| 20 | not-a-virus:AdWare.Win32.GamezTar.a | 170085 | 0,23 |
| Total TOP20 | 27443757 | 37,3 |
Loin en tête de ce classement, nous retrouvons la détection heuristique de liens malveillants introduits par des cyber criminels, voire parfois par les programmes malveillants eux-mêmes, dans le code des sites compromis. Ces liens réalisent des requêtes masquées du navigateur vers un autre site où se trouve la sélection principale de codes d’exploitation des vulnérabilités pour les navigateurs et les applications.
La deuxième place revient à Gumblar, ce qui n’a rien d’étonnant vu l’ampleur de l’épidémie. Notre produit a détecté près de 3000000 de requêtes de nos clients aux serveurs de ce réseau de PC asservis. On ne peut qu’imaginer les millions d’ordinateurs personnels qui ont pu être infectés par ce programme malveillant.
La troisième place revient, et c’est une surprise, au logiciel publicitaire Boran.z. Cela fait longtemps que la catégorie Adware, à l’instar du spam et de la pornographie, n’est plus un des moteurs de la structure cyber criminelle.
Presque tout le reste du Top 20 appartient d’une forme ou d’une autre aux différentes variations des codes d’exploitation de vulnérabilités.
Top 20 des pays dont les ressources hébergent les programmes 2009
Les 73619767 attaques que nous avons enregistrées en 2009 ont été organisées depuis des ressources Internet dispersées dans 174 pays. Plus de 97% des attaques ont été réalisées depuis 20 pays.
| 1 | CHINE (Rép. populaire) | 52,70% |
| 2 | ETATS-UNIS | 19,02% |
| 3 | PAYS-BAS | 5,86% |
| 4 | ALLEMAGNE | 5,07% |
| 5 | FEDERATION DE RUSSIE | 2,58% |
| 6 | ROYAUME-UNI | 2,54% |
| 7 | CANADA | 2,22% |
| 8 | UKRAINE | 2,17% |
| 9 | LETONIE | 1,53% |
| 10 | FRANCE | 0,60% |
| 11 | ESPAGNE | 0,49% |
| 12 | COREE DU SUD | 0,48% |
| 13 | BRESIL | 0,44% |
| 14 | CHYPRE | 0,34% |
| 15 | SUEDE | 0,32% |
| 16 | TAIWAN | 0,27% |
| 17 | NORVEGE | 0,23% |
| 18 | ISRAEL | 0,21% |
| 19 | LUXEMBOURG | 0,16% |
| 20 | ESTONIE | 0,16% |
| 97,38% |
Le Top 5 du classement est identique au Top 5 de l’année 2008.
La Chine demeure le leader absolu en termes d’attaques lancées depuis des ressources présentes dans le pays. Toutefois, le pourcentage d’attaques organisées depuis des ressources Internet chinoises a chuté de 79% à près de 53%. Les Etats-Unis occupent toujours la deuxième place et la part de serveurs infectés sur le territoire américain a considérablement augmenté et est passée de 6,8% à 19%. La Russie, l’Allemagne et les Pays-Bas conservent leurs positions.
La Chine domine non seulement en termes de création de programmes malveillants mais aussi en volume des sites Web infectés. Ceci a déjà suscité l’intérêt des autorités civiles et judiciaires du pays. Afin de remédier à cette situation, les organismes de régulation ont adopté plusieurs mesures destinées à compliquer l’apparition de ressources malveillantes. Désormais, pour obtenir un nom de domaine dans la zone .cn, il faut soumettre une demande écrite selon un modèle établi et le demandeur doit présenter personnellement un certificat et une licence pour la réalisation d’une activité commerciale. Plusieurs sociétés chinoises d’enregistrement de noms de domaines ont déjà été fermées pour le non-respect de ces normes.
Pratiquement dès l’introduction de ces mesures (à la fin de l’année 2009), le nombre de liens vers des domaines chinois dans le courrier indésirable a considérablement diminué. Nous espérons que cette tendance s’observera en 2010 dans d’autres modes d’infection des ordinateurs et d’escroquerie des utilisateurs.
Top 20 des pays dont les habitants furent victimes d’attaques en 2009
L’autre indicateur qui doit être étudié s’applique aux pays dont les internautes ont été victimes des attaques.
Plus de 86% des 73619767 tentatives d’infection enregistrées ont concerné des ordinateurs des habitants des vingt pays suivants:
| 1 | CHINE (Rép. populaire) | 46,75% |
| 2 | ETATS-UNIS | 6,64% |
| 3 | FEDERATION DE RUSSIE | 5,83% |
| 4 | INDE | 4,54% |
| 5 | ALLEMAGNE | 2,53% |
| 6 | ROYAUME-UNIE | 2,25% |
| 7 | ARABIE SAOUDITE | 1,81% |
| 8 | BRESIL | 1,78% |
| 9 | ITALIE | 1,74% |
| 10 | VIET NAM | 1,64% |
| 11 | MEXIQUE | 1,58% |
| 12 | FRANCE | 1,49% |
| 13 | EGYPTE | 1,37% |
| 14 | TURQUIE | 1,23% |
| 15 | ESPAGNE | 1,20% |
| 16 | UKRAINE | 0,91% |
| 17 | CANADA | 0,81% |
| 18 | MALAYSIE | 0,80% |
| 19 | THAILANDE | 0,76% |
| 20 | KAZAKHSTAN | 0,71% |
| 86,37% |
Par rapport à l’année dernière, ce classement a été fortement modifié. La Chine occupe toujours la première place en termes de victimes potentielles, mais sa part de tentatives d’infection a reculé de 7%. Tandis que les autres leaders de l’année dernière (l’Egypte, la Turquie et le Viet Nam) sont devenus moins intéressants pour les cyber criminels. Parallèlement, le nombre d’attaques contre les internautes aux Etats-Unis, en Allemagne, au Royaume-Uni et en Russie a augmenté.
Nous estimons que ce changement dans la cible des attaques est une autre conséquence de la crise économique. L’argent sur Internet est devenu plus rare et la croissance du nombre de personnes réalisant des transactions bancaires via Internet dans plusieurs pays s’est ralentie. Les cyber criminels ont donc du se tourner vers des marchés plus «riches» où la probabilité de gagner de l’argent en infectant des internautes était bien plus élevée.
Les criminels chinois qui s’en sont moins pris à leurs concitoyens ont également contribué à cet état de fait. Nous avons déjà évoqué le ralentissement de l’activité des chevaux de Troie visant les jeux. Il est probable que nous observerons les conséquences de cette tendance dans les attaques organisées via Internet.
Attaques de réseau
Le pare-feu est un élément incontournable de tout logiciel antivirus moderne. Il permet de bloquer diverses attaques contre l’ordinateur lancées de l’extérieur mais pas via le navigateur. Il protège également l’utilisateur contre les tentatives de vol de ses données.
Kaspersky Internet Security contient un pare-feu avec une fonction de détection des paquets entrants (IDS) dont beaucoup sont des codes d’exploitation qui utilisent des vulnérabilités dans les services de réseau des systèmes d’exploitation et qui sont capables d’infecter les systèmes qui ne possèdent pas les correctifs requis ou de donner à l’individu mal intentionné un accès complet à l’ordinateur.
En 2009, le système IDS intégré à KIS2010 a interrompu 219899678 attaques de réseau. En 2008, cet indicateur était d’un peu plus de 30 millions d’incidents.
| Nombre d’attaques | % | ||
| 1 | DoS.Generic.SYNFlood | 156550484 | 71,192 |
| 2 | Intrusion.Win.NETAPI.buffer-overflow.exploit | 32605798 | 14,828 |
| 3 | Intrusion.Win.MSSQL.worm.Helkern | 23263431 | 10,579 |
| 4 | Intrusion.Win.DCOM.exploit | 3245943 | 1,476 |
| 5 | Scan.Generic.UDP | 1799685 | 0,818 |
| 6 | Intrusion.Win.LSASS.exploit | 812775 | 0,37 |
| 7 | Intrusion.Generic.TCP.Flags.Bad.Combine.attack | 604621 | 0,275 |
| 8 | Intrusion.Win.LSASS.ASN1-kill-bill.exploit | 555107 | 0,252 |
| 9 | DoS.Generic.ICMPFlood | 131925 | 0,06 |
| 10 | Scan.Generic.TCP | 101737 | 0,046 |
| 11 | Intrusion.Win.HTTPD.GET.buffer-overflow.exploit | 86511 | 0,039 |
| 12 | Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit | 24375 | 0,011 |
| 13 | Intrusion.Win.SMB.CVE-2009-3103.exploit | 19378 | 0,009 |
| 14 | Intrusion.Win.WINS.heap-overflow.exploit | 15200 | 0,007 |
| 15 | Intrusion.Generic.OmniWeb.Alert.format-string.exploit | 14291 | 0,006 |
| 16 | Intrusion.Win.Messenger.exploit | 10296 | 0,005 |
| 17 | DoS.Win.IGMP.Host-Membership-Query.exploit | 8976 | 0,004 |
| 18 | Intrusion.Win.PnP.exploit | 8783 | 0,004 |
| 19 | Intrusion.Win.EasyAddressWebServer.format-string.exploit | 6561 | 0,003 |
| 20 | DoS.Generic.Land | 3505 | 0,002 |
| 99,986 |
La première place est occupée, comme l’année dernière, par l’attaque, simple et répandue, Dos.Generic.SYNFlood qui, en cas de réussite, met l’ordinateur attaqué hors service. À l’heure actuelle, ce type d’attaque est parfaitement bloqué par les systèmes d’identification modernes.
La deuxième place revient à NETAP.buffer-overflow.exploit, une attaque intéressante et dangereuse qui exploite la vulnérabilité MS08-067.
Il s’agit de la même vulnérabilité que celle utilisée par le tristement célèbre ver Kido. Elle fut découverte à la fin de l’année 2008 et occupait la quatrième place dans le classement de cette année-là. Il ne fait aucun doute qu’en 2009, Kido aura été responsable d’une grande partie des 32 millions de tentatives d’infection des ordinateurs à l’aide de MS08-067 découvertes et bloquées.
Le ver Helkern (Slammer) circule toujours sur le réseau. Malgré le fait qu’il a déjà 7 ans, il figure toujours parmi les leaders: il aura été responsable de 23 millions des tentatives d’infection bloquées. Le classement compte un autre ancêtre en quatrième position, le code d’exploitation RPC-DCOM (MS03-026). C’est cette même vulnérabilité qui fut à l’origine de l’épidémie mondiale du ver Lovesan au mois d’août 2003.
Infections locales
Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Ces données concernent les objets qui se sont introduit sur les ordinateurs par d’autres moyens qu’Internet, le courrier ou les messages électroniques.
Nos logiciels antivirus ont découvert plus de 100000000 (107370258) d’incidents liés à des virus sur les ordinateurs membres du Kaspersky Security Network.
703700 programmes malveillants ou potentiellement indésirables ont été recensés dans ces incidents.
Le Top 100 de ces programmes a été responsable de 28597901 incidents (27%).
Les programmes malveillants du Top 20 figurent parmi les menaces les plus répandues en 2009.
| Classement | Objet détecté | Nombre d’ordinateurs uniques sur lesquels l’objet a été découvert |
| 1 | HEUR:Trojan.Win32.Generic | 3050753 |
| 2 | Net-Worm.Win32.Kido.ih | 2924062 |
| 3 | Virus.Win32.Sality.aa | 1407976 |
| 4 | Net-Worm.Win32.Kido.ir | 1176726 |
| 5 | UDS:DangerousObject.Multi.Generic | 620716 |
| 6 | Packed.Win32.Black.d | 527718 |
| 7 | Net-Worm.Win32.Kido.iq | 518120 |
| 8 | HEUR:Worm.Win32.Generic | 516467 |
| 9 | Virus.Win32.Virut.ce | 488852 |
| 10 | not-a-virus:AdWare.Win32.Boran.z | 466106 |
| 11 | Virus.Win32.Induc.a | 455798 |
| 12 | HEUR:Trojan-Downloader.Win32.Generic | 436229 |
| 13 | HEUR:Trojan.Win32.StartPage | 412245 |
| 14 | MultiPacked.Multi.Generic | 377741 |
| 15 | Trojan-Downloader.Win32.VB.eql | 362685 |
| 16 | Worm.Win32.FlyStudio.cu | 361056 |
| 17 | Trojan-Dropper.Win32.Flystud.yo | 356950 |
| 18 | Packed.Win32.Black.a | 333705 |
| 19 | Packed.Win32.Klone.bj | 320665 |
| 20 | Trojan.Win32.Chifrax.a | 296947 |
| 97,38% |
Des tentatives d’infections découvertes par nos méthodes heuristiques ont été bloquées sur plus de trois millions d’ordinateurs. La majorité des détections de cette catégorie figure au classement: il s’agit de HEUR:Trojan.Win32.Generic, HEUR:Worm.Win32.Generic, HEUR:Trojan-Downloader.Win32.Generic et HEUR:Trojan.Win32.StartPage.
L’épidémie la plus importante de l’année, comme nous l’avons déjà dit, fut sans conteste celle provoquée par le ver Kido (Conficker) à l’origine de l’infection de millions d’ordinateurs dans le monde entier. Trois modifications de ce ver figurent dans le Top 20 (Kido.ir, Kido.ih et Kido.iq) et en terme d’ordinateurs compromis, ils devancent le leader HEUR:Trojan.Win32.Generic de plus de 1,5 millions d’unités.
Kido est suivi de Sality.aa qui provoqua une épidémie internationale l’année dernière et qui dominait notre rapport annuel. Il faut signaler qu’il n’a pas occupé la place très longtemps: les vers de réseau ont à nouveau occupé le terrain.
Outre Sality, le classement compte deux virus: un virus de fichiers classique et un deuxième qui ne trouve pas sa place dans la classification existante.
Le premier est Virus.Win32.Virut.ce qui, outre l’infection des fichiers exécutables, infecte également les serveurs Web et se propage via les réseaux P2P. L’épidémie impliquant ce virus fut également un des événements les plus marquants de l’année.
Le deuxième virus (Virus.Win32.Induc.a) est un exemple très intéressant de programme malveillant qui se multiplie via un mécanisme en deux étapes de création de fichiers exécutables exécutés dans un environnement Delphi. Dans le cadre de ce mécanisme, le code source des applications traitées est d’abord compilé dans les modules .dcu intermédiaires d’où sont formés ensuite les fichiers Windows. Heureusement, ce virus n’a pas de charge utile autre que l’infection mais il démontre le potentiel pour un nouveau vecteur d’infections bien réelles. Il convient de noter que la cause de la découverte tardive d’Induc (les fichiers infectés sont apparus vers la fin de l’année 2008, mais le virus ne fut découvert qu’en août 2009) est l’absence de charge utile malveillante autre que la multiplication.
Grâce au système d’identification instantanée des menaces (UDS) intégré à Kaspersky Security Network, plus de 600000 ordinateurs ont pu être protégés en temps réel: les nouveaux fichiers malveillants ont été détectés comme UDS:DangerousObject.Multi.Generic.
Il faut noter également le nombre important d’applications malveillantes créées à l’aide du langage de script FlyStudio. On en trouve 3 dans le classement: Worm.Win32.FlyStudio.cu, Trojan-Dropper.Win32.Flystud.yo et Packed.Win32.Klone.bj. Si l’on sait que FlyStudio est utilisé principalement par les cyber criminels chinois, l’entrée de ces programmes dans le Top 20 confirme ce qui a été dit dans la première partie du rapport: la Chine compte désormais comme l’un des principaux pays fournisseurs de programmes malveillants.
L’autre tendance marquée dans la création de programmes malveillants cette année est le compactage et l’obfuscation à l’aide de compacteurs spéciaux, ce qui complique la détection, même pour les exemples connus. Plusieurs représentants de ces compacteurs, appartenant au comportement Packed, ont fait leur entrée dans le classement: il s’agit de Black.a, Black.d et Klone.bj.
Vulnérabilités
Les vulnérabilités dans les logiciels sont les menaces les plus dangereuses pour les ordinateurs des internautes. Les cyber criminels peuvent les exploiter afin de contourner les moyens de protection en place et attaquer ainsi l’ordinateur.
L’épidémie la plus retentissante de 2009 fut celle provoquée par le ver Kido. Elle doit son origine à la découverte d’une nouvelle vulnérabilité critique dans le système d’exploitation Windows.
Toutefois, comme l’année dernière, l’infection via le navigateur est la méthode la plus répandue pour introduire des programmes malveillants dans le système. Il n’est pas nécessaire que le navigateur lui-même possède des vulnérabilités. L’infection est impossible s’il existe des vulnérabilités dans les modules externes ou dans les applications avec lesquelles le navigateur interagit.
Le système d’analyse des vulnérabilités nous a permis de découvrir 404 vulnérabilités différentes en 2009. Le nombre total de fichiers et d’applications vulnérables sur les ordinateurs s’élevait à 461828 538.
Nous avons analysé les 20 vulnérabilités les plus répandues. Celles-ci ont été identifiées dans 90% (415608137) des fichiers et applications vulnérables découverts sur les ordinateurs des utilisateurs de nos logiciels antivirus.
| № | Vulnerabilty | Nombre de fichiers et d’applications vulnérables |
% de l’ensemble des fichiers et applications vulnérables |
Rating | Impact | Release Date | |
| 1 | 33632 | Apple QuickTime Multiple Vulnerabilities | 165658505 | 35,87 | Highly critical | System Access | 22.01.2009 |
| 2 | 35091 | Apple QuickTime Multiple Vulnerabilities | 68645338 | 14,86 | Highly Critical | System Access | 22.05.2009 |
| 3 | 31821 | Apple QuickTime Multiple Vulnerabilities | 58141113 | 12,59 | Highly Critical | System Access | 10.09.2008 |
| 4 | 29293 | Apple QuickTime Multiple Vulnerabilities | 38368954 | 8,31 | Highly Critical | System Access | 10.06.2008 |
| 5 | 23655 | Microsoft XML Core Services Multiple Vulnerabilities | 8906277 | 1,93 | Highly Critical | Cross Site Scripting, DoS, System access | 09.01.2007 |
| 6 | 34012 | Adobe Flash Player Multiple Vulnerabilities | 7728963 | 1,67 | Highly Critical | Security Bypass, Exposure of sensitive information, Privilege escalation, System access | 25.02.2009 |
| 7 | 34451 | Sun Java JDK / JRE Multiple Vulnerabilities | 6783414 | 1,47 | Highly Critical | Security Bypass, DoS, System access | 26.03.2009 |
| 8 | 29320 | Microsoft Outlook « mailto: » URI Handling Vulnerability | 6336962 | 1,37 | Highly Critical | System Access | 11.03.2008 |
| 9 | 35364 | Microsoft Excel Multiple Vulnerabilities | 6290278 | 1,36 | Highly Critical | System Access | 09.06.2009 |
| 10 | 35377 | Microsoft Office Word Two Vulnerabilities | 6088207 | 1,32 | Highly Critical | System Access | 09.06.2009 |
| 11 | 34572 | Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability | 5704617 | 1,24 | Extremely Critical | System Access | 03.04.2009 |
| 12 | 31744 | Microsoft Office OneNote URI Handling Vulnerability | 5652570 | 1,22 | Highly Critical | System Access | 09.09.2008 |
| 13 | 32270 | Adobe Flash Player Multiple Security Issues and Vulnerabilities | 5078221 | 1,1 | Moderately critical | Security Bypass, Cross Site Scripting, Manipulation of data, Exposure of sensitive information | 16.10.2008 |
| 14 | 35948 | Adobe Flash Player Multiple Vulnerabilities | 5073297 | 1,1 | Highly Critical | Security Bypass, Exposure of sensitive information, System access | 23.07.2009 |
| 15 | 30285 | Microsoft Office Word Multiple Vulnerabilities | 4984582 | 1,08 | Highly Critical | System Access | 09.12.2008 |
| 16 | 31453 | Microsoft Office PowerPoint Multiple Vulnerabilities | 4203122 | 0,91 | Highly Critical | System Access | 12.08.2008 |
| 17 | 30150 | Microsoft Publisher Object Handler Validation Vulnerability | 3965019 | 0,86 | Highly Critical | System Access | 13.05.2008 |
| 18 | 32991 | Sun Java JDK / JRE Multiple Vulnerabilities | 2980650 | 0,65 | Highly Critical | Security Bypass, Exposure of system information, Exposure of sensitive information, DoS, System access | 04.12.2008 |
| 19 | 31593 | Microsoft Excel Multiple Vulnerabilities | 2604816 | 0,56 | Highly Critical | System Access | 09.12.2008 |
| 20 | 26027 | Adobe Flash Player Multiple Vulnerabilities | 2413232 | 0,52 | Highly Critical | Exposure of sensitive information, System access | 11.07.2007 |
| Top20 | 415608137 | 89,99 |
Parmi les cinq vulnérabilités les plus répandues, les deux premières furent découvertes en 2009, la troisième et la quatrième en 2008 et Microsoft XM Core Services Multiple Vulnerabilities (5e position) en 2007.
La vulnérabilité la plus répandue en 2009, sur la base du nombre de fichiers et d’applications découverts sur les ordinateurs particuliers, fut celle découverte dans le logiciel QuickTime 7.x d’Apple. Plus de 70% des vulnérabilités furent identifiées dans ce produit. Il faut noter également que l’année dernière, QuickTime avait également occupé la première place en terme de vulnérabilités (plus de 80%).
Penchons nous sur l’origine des logiciels contenant le plus de vulnérabilités dans le Top 20:
L’année dernière, cette liste comptait 7 sociétés. Ce nombre est passé à quatre.
Microsoft, comme l’année dernière, domine le classement avec 10 vulnérabilités, ce qui n’a rien d’étonnant vu que nous étudions la situation sur la plateforme Windows. Neuf d’entre elles ont été découvertes dans les applications de la suite bureautique Microsoft Office: Word, Excel, Outlook, PowerPoint, etc.
Apple comptabilise 4 vulnérabilités, toutes dans QuickTime.
Ainsi, la situation est tout à fait identique à celle enregistrée en 2008: QuickTime et MS Office demeurent les applications avec le plus de vulnérabilités sur les systèmes Windows modernes.
D’ailleurs, l’écart qui les sépare du troisième éditeur de logiciels, à savoir Adobe, n’est pas si important. Les quatre vulnérabilités découvertes appartiennent au même logiciel: Adobe Flash Player. Sur ces quatre vulnérabilités, deux ont été découvertes cette année. La situation pour l’année ne s’est pas améliorée. Elle se serait même détériorée.
Le classement des applications les plus dangereuses en 2009 est le suivant:
- QuickTime
- Microsoft Office
- Adobe Flash Player
Le groupement des vulnérabilités les plus répandues en fonction de l’effet donne le schéma suivant:
Les vingt vulnérabilités les plus souvent identifiées appartiennent toutes à la catégorie « remote », ce qui laisse supposer une utilisation à distance même si le cyber criminel ne dispose pas d’un accès local à l’ordinateur.
L’exploitation de chacune de ces vulnérabilités entraîne des conséquences différentes pour la victime. L’effet «system access» est le plus dangereux car il permet au cyber criminel d’obtenir un accès quasi total au système.
19 vulnérabilités permettent un «system access» et 5 peuvent déboucher sur la fuite d’informations importantes.