Développement des menaces informatiques au deuxième trimestre 2012

Développement des menaces informatiques au deuxième trimestre 2012


Chiffres du trimestre

  • Selon les données de KSN, les logiciels de Kaspersky Lab au deuxième trimestre 2012 ont détecté et neutralisé plus d’un milliard d’objets malveilants.
  • Ces programmes malveillants ont été propagés au départ de 89,5 millions d’URL.
  • 14 900 fichiers de programmes malveillants pour Android ont été détectés.

Survol de la situation

Programmes malveillants pour les appareils nomades

Par rapport au 1er trimestre, le nombre de chevaux de Troie sous Android a pratiquement triplé au deuxième trimestre. En trois mois, notre collection a été enrichie de plus de 14 900 programmes malveillants.


Nombre de modifications découvertes de programmes malveillants pour Android OS

Un tel développement des programmes malveillants pour Android indique que de plus en plus d’auteurs de programmes malveillants se consacrent au développement de programmes malveillants pour appareils nomades. A l’instar de ce qui s’est passé pour les programmes malveillants sous Windows, le développement des programmes malveillants pour appareils nomades a entraîné l’apparition d’un marché noir des services de diffusion. Les principaux canaux de diffusion des programmes malveillants sont les magasins d’applications non officiels et les programmes de partenariat. On ne manquera pas de remarquer que les programmes malveillants deviennent de plus en plus complexes : les individus malintentionnés investissent beaucoup d’efforts dans les technologies d’obfuscation et de protection du code, ce qui complique l’analyse des programmes malveillants.

Près de la moitié (49 %) des fichiers malveillants traités par Kaspersky Lab au deuxième trimestre sont des chevaux de Troie multifonction qui volent les données du téléphone (noms des contacts, adresses de messagerie, numéros de téléphone, etc.) et qui peuvent également télécharger d’autres modules depuis les serveurs des individus malintentionnés.

Un quart des programmes malveillants pour Android détectés sont des SMS chevaux de Troie. Ces programmes malveillants retirent de l’argent des comptes des victimes en envoyant à leur insu des SMS vers des numéros payants. Il y a quelques années, ces programmes étaient présents uniquement dans les républiques de l’ex-URSS, en Asie du Sud-Est et en Chine. Aujourd’hui, on les retrouve partout : au deuxième trimestre 2012, nous avons protégé les utilisateurs dans 47 pays contre les programmes malveillants par SMS.

18 % des programmes malveillants pour Android détectés au deuxième trimestre sont des portes dérobées qui permettent aux individus malintentionnés de prendre les commandes du périphérique infecté. Ces programmes permettent de créer des réseaux de zombies composés d’appareils nomades.


Répartition par comportement des programmes malveillants pour Android détectés au 2e trimestre

Pour l’instant, la part des chevaux de Troie sous Android n’est pas très importante, à peine 2 pour cent. Mais ce sont ces programmes qui sont les plus dangereux pour les utilisateurs. En effet, ils sont à l’affût des informations les plus précieuses qui permettent aux individus malintentionnés d’accéder aux comptes bancaires des victimes.

Au mois de juin les experts de Kaspersky Lab ont détecté une nouvelle version d’un programme malveillant capable de voler les SMS entrant. Ce programme se dissimulait dernière l’application Android Security Suite Premium. Mais ce cheval de Troie est remarquable pour une autre raison : tous les serveurs d’administration de ce programme malveillant étaient enregistrés au nom de la même personne. Il s’agissait bien sûr d’une fausse identité, mais ces données étaient en tous points identiques aux données utilisées pour enregistrer des domaines de gestion de Zbot (ZeuS). On peut dès lors conclure que le vol de SMS vise à obtenir les codes d’autorisation de transactions bancaires et ce programme malveillant a été classé dans la catégorie Trojan-Spy.AndroidOS.Zitmo.

Programmes malveillants pour Mac

Le nombre de programmes malveillants pour Mac découverts par rapport au premier trimestre 2012 a reculé : nous avons ajouté à nos bases les définitions de 50 programmes malveillants pour Mac OS X.

Suite à la découverte au trimestre dernier du réseau de zombies FlashFake qui comptait plus de 700 000 Macs, Apple a fourni plus d’efforts dans la résolution des problèmes de sécurité de son système d’exploitation. Prenons par exemple la diffusion des correctifs pour Oracles Java au même moment que pour Windows et l’introduction dans la nouvelle version de Mac OS X de fonctions de protection : installation par défaut des applications uniquement en provenance de l’App Store, utilisation de la technologie du bac à sable pour les applications téléchargées depuis le magasin, installation automatique des mises à jour, etc.


Nombre de nouvelles définitions de virus pour Mac OS X ajoutées aux bases antivirus de Kaspersky Lab
Deuxième trimestre 2012

Les prévisions selon lesquelles les attaques contre les utilisateurs de Mac allaient se poursuivre au deuxième trimestre se sont confirmées. A la fin du mois de juin 2012, nos radars antivirus ont détecté une nouvelle attaque ciblée contre les utilisateurs de Mac ouïgours en Chine. A la différence de l’attaque antérieure, les individus malintentionnés n’ont utilisé aucun code d’exploitation pour infecter les ordinateurs avec le programme malveillant. Cette fois-ci, un groupe restreint de personnes a reçu un message contenant une archive zip. L’archive contenait un fichier jpg et une application pour Mac affichant une icône d’un document texte. Ceci est un exemple classique d’ingénierie sociale. Le principal élément de l’attaque était le fichier exécutable dissimulé sous les traits d’un document texte. Il s’agissait d’une porte dérobée pour Mac OS X compatible aussi bien avec l’architecture i386 qu’avec l’architecture PowerPC et détectée par nos logiciels sous le nom Backdoor.OSX.MaControl.b. Une porte dérobée Windows utilisée dans cette même attaque a également été détectée.

La porte dérobée remplit de nombreuses fonctions et elle permet notamment d’obtenir des fichiers depuis l’ordinateur infecté. Les données de configuration des serveurs d’administration étaient cryptées selon un algorithme élémentaire, si bien que nous avons pu confirmer que le serveur se trouvait en Chine.

Les produits de la société Apple sont très recherchés par des hommes politiques ou des hommes d’affaires influents et les informations qui se trouvent sur les périphériques de ces personnes sont très intéressantes pour une catégorie déterminée d’individus malintentionnés. Ceci signifie que les attaques APT visant les utilisateurs de Mac vont se poursuivre. L’évolution des attaques ciblées peut suivre la voie du développement des programmes malveillants multiplateformes dont le code est similaire et qui peuvent fonctionner sous plusieurs systèmes d’exploitation parmi les plus répandus.

Fuites de données de LinkedIn et mots de passe

Plusieurs services en ligne on fait la une des journaux au deuxième trimestre suite aux fuites dans une base de cache de mots de passe. Un des cas les plus marquants fut l’accès à une partie de la base de données (6,5 millions de caches de mots de passe) du réseau social LinkedIn. Le 6 juin, soit un jour après la publication de ces informations, la société a confirmé la fuite et a déclaré que grâce à la rapidité de la réaction, les mots de passe des enregistrements publiés ont été annulés et les propriétaires de ces mots de passe ont du en créer d’autres.

Malheureusement, au moment de la publication de cette déclaration, plus de la moitié des mots de passe avait déjà été extraite de la base des caches. Comment expliquer cette rapidité ? Il se fait que pour une raison quelconque LinkedIn conservait le cache sans ce qu’on appelle le grain de sel, une suite de caractères aléatoires ajoutés au mot de passe d’origine avant le cryptage. Comme cette technologie n’avait pas été appliquée, le contenu des caches SHA-1 a été rapidement identifié à l’aide de la force brute selon des caches de mots de passe populaires issus de dictionnaires. Les mots de passe ont pu être décryptés aussi vite également parque les mots de passe de plus de la moitié des utilisateurs étaient très simples. Suite à l’incident, LinkedIn a annoncé que désormais les mots de passe stockés étaient cryptés et qu’un grain de sel était ajouté.

Pour éviter de devenir la victime d’une telle attaque, les utilisateurs doivent avant tout utiliser des mots de passe longs et complexes difficiles à déchiffrer à l’aide d’un dictionnaire. Et il ne faut pas oublier que l’utilisation du même mot de passe pour différents services augmente le risque de désagréments en cas de vol.

Nous conseillons aux administrateurs d’utiliser au moins le cryptage et le grain de sel pour conserver les mots de passe. Toutefois, l’utilisation d’un algorithme de cryptage rapide (par exemple, SHA-1 ou MD5) et d’un grain de sel face à la puissance de décryptage de mots de passe de GPU peuvent ne pas être suffisants. Une solution plus fiable consiste à utiliser des algorithmes comme PBKDF2 (Password-Based Key Derivation Function 2) ou bcrypt qui non seulement utilisent le grain de sel par défaut, mais qui permettent également de ralentir le décryptage des mots de passe.

Flame : suite du cyberespionnage

L’événement le plus marquant en rapport avec le cyberespionnage fut la découverte du ver Flame.

Kaspersky Lab a réalisé une étude commanditée par l’Union internationale des communications électroniques sur la recherche d’un programme malveillant inconnu qui supprimait des données confidentielles sur des ordinateurs dans des pays du Moyen-Orient. Lors de la recherche, nous avons détecté une nouvelle version du programme malveillant que nous avions baptisé Worm.Win32.Flame.

Bien que la fonctionnalité de Flame soit différente de celle d’exemplaire déjà connus tels que Duqu et Stuxnet, ils ont des points communs : la géographie des attaques, la cible précise des attaques et l’exploitation de vulnérabilités spécifiques dans les applications. Ceci place Flame dans la même catégorie de super-armes cybernétiques que des individus malintentionnés inconnues envoient au Moyen-Orient.

Flame est bien plus complexe que Duqu et reprend toute une série d’outils rusés pour réaliser les attaques. Ce programme malveillant a une taille de près de 20 Mo. Il s’agit d’un cheval de Troie-porte dérobée qui présente également des caractéristiques propres aux vers : il peut se propager sur le réseau local et via des disques amovibles lorsqu’il reçoit la commande correspondante de son propriétaire. Le mode de propagation le plus dangereux de Flame est la réplication d’un réseau local déjà infecté sous la forme d’une mise à jour Windows. Et le code est signé par des certificats octroyés à l’origine par Microsoft. Microsoft a détecté l’utilisation illicite de la signature numérique et a immédiatement annulé le certificat. La société a ensuite publié directement une note sur la menace et a diffusé la mise à jour KB2718704.

Flame dérobe sur les ordinateurs infectés au Moyen-Orient (Iran, Soudan, Syrie, etc.) différentes informations, dont des fichiers audio et vidéo ou des plans AutoCAD.

Flame demeure à ce jour une des cybermenaces les plus complexes. L’application est volumineuse, sa structure est incroyablement complexe et illustre parfaitement ce que pourra être l’espionnage au XXIe siècle.

Statistiques

Toutes les données statistiques citées dans ce rapport ont été obtenues à l’aide du réseau antivirus distribué Kaspersky Security Network (KSN)suite au fonctionnement de divers composants chargés de la protection contre les programmes malveillants.. Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l’utilisation des données. Des millions d’utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays et territoires participent à cet échange global d’informations sur l’activité des programmes malveillants.

Menaces sur Internet

Les données statistiques présentées dans ce chapitre ont été obtenues via l’antivirus Internet qui protège les utilisateurs au moment de télécharger un code malveillant depuis une page infectée. Cette page infectée peut être un site créé spécialement par les individus malintentionnés, des sites dont le contenu est fourni par les utilisateurs (par exemple, des forums) ou une ressource légitime compromise.

Objets détectés sur Internet

Au cours du deuxième semestre 2012, nous avons enregistré 434 143 004 attaques menées depuis des sites situés dans différentes parties du monde. 145 007 modifications uniques de programmes malveillants ou potentiellement indésirables divers ont été recensées dans l’ensemble dans ces incidents.

Top 20 des objets détectés sur Internet

Classement Nom* % de l’ensemble des attaques**
1 Malicious URL 85,80%
2 Trojan.Script.Iframer 3,90%
3 Trojan.Script.Generic 2,70%
4 Exploit.Script.Blocker 0,60%
5 Trojan.JS.Popupper.aw 0,40%
6 Trojan.Win32.Generic 0,40%
7 Trojan-Downloader.JS.Iframe.cxk 0,30%
8 Trojan-Downloader.JS.Expack.sn 0,20%
9 Exploit.Script.Generic 0,20%
10 Trojan-Downloader.Script.Generic 0,20%
11 Trojan-Downloader.JS.Agent.gqu 0,20%
12 Trojan-Downloader.Win32.Generic 0,20%
13 Hoax.HTML.FraudLoad.h 0,10%
14 Trojan-Downloader.SWF.FameGake.a 0,10%
15 Trojan.JS.Iframe.aaw 0,10%
16 Trojan.JS.Agent.bxw 0,10%
17 AdWare.Win32.IBryte.x 0,10%
18 AdWare.Win32.ScreenSaver.i 0,10%
19 Trojan-Downloader.JS.Agent.grd 0,10%
20 Trojan-Downloader.JS.JScript.ag 0,10%

* Verdicts détectés du module Antivirus Internet. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l’envoi des statistiques.
** Pourcentage de l’ensemble des attaques via Internet enregistrées sur les ordinateurs d’utilisateurs uniques.

Les liens malveillants de la liste noire se maintiennent en première position. Par rapport au trimestre précédent, leur part a augmenté de 1,5% et représentait 85,8% de l’ensemble des détections. En tête de liste, nous retrouvons différents sites vers lesquels les utilisateurs étaient redirigés. Pour rappel, dans la majorité des cas, l’utilisateur arrive sur le site malveillant via un site légitime qui a été compromis après l’insertion de scripts malveillants (attaque par téléchargement à la dérobée). De plus, les utilisateurs cliquent eux-mêmes sur des liens dangereux, par exemple lorsqu’ils recherchent différents types de contenu pirate. Une partie importante des URL malveillantes détectées est associée comme toujours à des sites liés à des paquets de codes d’exploitation.

13 places du classement sont occupées par des programmes malveillants qui exploitent des failles dans l’application afin d’introduire sur l’ordinateur des programmes malveillants, dont deux programmes découverts par analyse heuristique : Exploit.Script.Blocker et Exploit.Script.Generic.

Le nombre de logiciels publicitaires détectés sous la catégorie AdWare continue de reculer dans le classement : au deuxième trimestre, seuls deux de ces programmes figurent au classement. Ces programmes fonctionnement comme des extensions pour des navigateurs : ils ajoutent un nouveau volet de recherche et modifient la page d’accueil. Il s’agit d’applications légitimes dont les développeurs paient des diffuseurs pour l’installation. Toutefois, il existe des diffuseurs qui sont prêts à recevoir de l’argent en installant ces programmes sans demander l’autorisation de l’utilisateur.

Applications dont les vulnérabilités sont exploitées par les individus malintentionnés

La majorité des attaques via Internet est réalisée à l’aide de codes d’exploitation qui exploitent des erreurs dans les applications afin de pouvoir exécuter un programme malveillant à l’insu de l’utilisateur.

Quelles sont les applications qui sont le plus souvent ciblées par les codes d’exploitation ? La réponse est présentée sur ce graphique : il s’agit d’Adobe Acrobat Reader, Java, Android Root et Adobe Flash Player. Ce sont ces applications que les utilisateurs doivent avant tout mettre à jour et il est préférable d’activer pour celles-ci la mise à jour automatique.


Applications dont les vulnérabilités ont été exploitées par des codes d’exploitation Internet.
Deuxième trimestre 2012

Top 20 des pays dont les ressources hébergent les programmes malveillants

Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

85 % des sites Web (1 % de moins que le mois passé) utilisés pour propager des programmes malveillants au deuxième trimestre 2012 se trouvaient dans 10 pays.

 

 


Répartition des sites Web abritant des programmes malveillants par pays.
Deuxième trimestre 2012

La composition du Top 10 n’a pas changé et on retrouve les mêmes pays qu’au trimestre dernier. Au cours des trois derniers mois, le nombre d’hébergeurs situés aux Etats-Unis a sensiblement augmenté (+7 %). Cela s’explique en partie par la réduction de la part des autres pays du Top 10 : Russie (-1,5 %), Allemagne (-1,9 %), Pays-Bas (-1,2 %), Angleterre (-1 %) et France (-1,7 %). La Russie occupe la deuxième place de ce classement (14 %) et fait reculer les Pays-Bas en troisième position (12 %).

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé la fréquence de déclenchement de l’Antivirus Internet chez les utilisateurs dans chacun des pays au cours du trimestre.


Top 20 des pays dont les internautes ont été le plus exposés au risque d’infection via Internet* Deuxième trimestre 2012

*Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage d’utilisateurs uniques soumis à des attaques via Internet par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Le Top 20 est dominé par pays de l’ex-URSS ainsi que par des pays d’Afrique et d’Asie du Sud-Est.

Nous pouvons répartir les pays en plusieurs groupes.

  1. Groupe à risque élevé. Ce groupe où le risque est compris entre 41 et 60 % reprend 18 pays du Top 20 dont la Russie (59, 5%), le Kazakhstan (54 %), l’Ukraine (47,3 %), l’Inde (48 %), l’Indonésie (42,2 %) et la Malaisie (41,8 %).
  2. Groupe à risque. Ce groupe où le risque est compris entre 21 et 40 % reprend 103 pays dont l’Espagne (37,8 %), l’Italie (34,8 %), le Canada (36 %), les Etats-Unis(35,7 %) et l’Angleterre (31,6 %).
  3. Groupe des pays les plus sûrs en terme de navigation sur Internet. Ce groupe reprend 16 pays où l’indice de sécurité est compris entre 12,3 et 20 %.

Les pourcentages le plus faible d’internautes attaqués ont été enregistrés à Taïwan (15,2 %), au Japon (18,1 %), au Danemark (18,9%), au Luxembourg (19,7 %) et en République tchèque (20%). Ce groupe reprend également des pays d’Afrique australe, mais dans ces pays la situation est loin d’être parfaite au niveau des infections locales.


Risque d’infection des ordinateurs des utilisateurs via Internet par pays
Deuxième trimestre 2012

En moyenne, 39,7 % des ordinateurs des participants au KSN, soit près de quatre ordinateurs sur dix à travers le monde, ont été victimes au moins d’une attaque lors de la navigation sur Internet au cours du trimestre. Nous tenons à signaler que le pourcentage moyen d’ordinateurs attaqués par rapport au trimestre précédent a augmenté de 11 points de pourcentage.

Menaces locales

Nous analysons ici les données statistiques obtenues sur la base du fonctionnement du module antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les statistiques d’analyse de divers disques amovibles.

Objets découverts sur les ordinateurs

Au deuxième trimestre 2012, nos solutions antivirus ont bloqué 1 041 194 194 tentatives d’infection locales sur les ordinateurs d’utilisateurs membres du Kaspersky Security Network.

Rien qu’au stade de la tentative d’exécution sur les ordinateurs des utilisateurs (analyse à l’accès), nous avons détecté 383 667 modifications uniques de programmes malveillants et potentiellement malveillants.

Objets découverts sur les ordinateurs Top 20

Classement Nom % d’utilisateurs uniques attaqués*
1 Trojan.Win32.AutoRun.gen 17,80%
2 Trojan.Win32.Generic 17,.40%
3 DangerousObject.Multi.Generic 16,10%
4 Trojan.Win32.Starter.yy 7,40%
5 Virus.Win32.Sality.bh 6,70%
6 Virus.Win32.Virut.ce 5,40%
7 Net-Worm.Win32.Kido.ih 5,10%
8 Virus.Win32.Sality.aa 4,20%
9 HiddenObject.Multi.Generic 3,60%
10 Virus.Win32.Nimnul.a 3,10%
11 Trojan.WinLNK.Runner.bl 2,20%
12 Worm.Win32.AutoRun.hxw 2,00%
13 Trojan.Win32.Hosts2.gen 1,40%
14 Virus.Win32.Sality.ag 1,40%
15 Worm.Win32.Mabezat.b 1,00%
16 AdWare.Win32.GoonSearch.b 0,80%
17 AdWare.Win32.BHO.aqbp 070%
18 Trojan-Dropper.Script.Generic 0,50%
19 AdWare.Win32.HotBar.dh 0,30%
20 Trojan-Downloader.WMA.Wimad.ag 0,30%

Ces statistiques sont les verdicts détectés par les modules OAS et ODS de l’Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
* Pourcentage d’utilisateurs uniques sur les ordinateurs desquels l’Antivirus a détecté l’objet en question, par rapport à l’ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l’Antivirus s’est déclenché.

La première place du classement (17,8 %) est occupée par des programmes malveillants qui se propagent via des disques amovibles, le plus souvent des clés USB, est détecté par l’heuristique. L’apparition de ce verdict en première position indique que le nombre de disques amovibles sur lesquels des traces du fonctionnement de programmes malveillants ont été détectées est très élevé.

La deuxième place du classement est occupée par un verdict délivré par l’analyseur heuristique lors de la détection proactive d’une multitude de programmes malveillants (Trojan.Win32.Generic, 17,4%).

Les programmes malveillants détectés à l’aide des technologies du nuage (16,1 %) ont reculé de la première à la troisième place. Ces technologies interviennent lorsque les bases antivirus ne contiennent pas encore les définitions et qu’il n’est pas possible de détecter le programme malveillant à l’aide de l’analyse heuristique, mais l’éditeur de logiciels antivirus a accès dans le « nuage » aux informations relatives à l’objet. Dans ce cas, l’objet détecté reçoit le nom DangerousObject.Multi.Generic.

On retrouve des logiciels publicitaires en 16e, 17e et 20e place. Signalons une nouveauté avec la famille AdWare.Win32.GoonSearch (0,8 %). Ces programmes sont des extensions pour IE, mais nous avons recensé des cas d’installation sans autorisation de l’utilisateur et c’est la raison pour laquelle les outils antivirus réagissent.

Net-Worm.Win32.Kido (5,1 %) continue à perdre des places dans le classement. Alors que de leur côté, les infecteurs de fichiers ont ajouté un nouveau membre de leur famille au classement : outre les virus Virus.Win32.Sality.bh, Virus.Win32.Sality.аа, Virus.Win32.Nimnul.a et Trojan.Win32.Starter.yy, le classement a vu au deuxième trimestre l’apparition du célèbre Virus.Win32.Virut.ce (5,4%) qui intègre les ordinateurs infectés dans un énorme réseau de zombies pour la diffusion d’autres programmes malveillants.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Les chiffres obtenus montrent le taux d’infection moyen des ordinateurs dans un pays ou l’autre. 36,5 % des ordinateurs des utilisateurs qui participent au KSN à travers le monde et qui nous transmettent des informations ont présenté au moins une fois un programme malveillant (sur l’ordinateur ou un disque amovible connecté à celui-ci), soit un recul de 5,7 % par rapport au trimestre précédent.


Top 20 pourcentage d’ordinateurs sur lesquels des programmes malveillants ont été détectés par rapport au nombre total d’utilisateurs de logiciels de Kaspersky Lab dan le pays*. Deuxième trimestre 2012

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
* *Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Le premier Top 20 est composé presque exclusivement de pays d’Afrique et d’Asie du Sud-Est. Au Bangladesh, nos logiciels ont été confrontés à des programmes malveillants sur 98 % des ordinateurs sur lesquels ils étaient installés.

Dans le cas des infections locales, nous pouvons également regrouper les pays en fonction du niveau d’infection :

  1. Niveau maximum d’infection (supérieur à 60%) : 20 pays, principalement d’Asie (Inde, Viet Nam, Mongolie, etc.), du Moyen-Orient (Iran, Afghanistan) et d’Afrique (Soudan, Angola, Nigeria, Cameroun, etc.).
  2. Niveau d’infection élevé (41 à 60 %) : 51 pays dont l’Indonésie (58,3 %), le Kazakhstan (46,1 %), la Chine (43,9 %), l’Equateur (43,8 %), la Russie (42,6 %) et les Emirats arabes unis (42,3 %).
  3. Niveau d’infection moyen (21 à 40 %) : 43 pays dont la Turquie, le Mexique, Israël, la Lettonie, le Portugal, l’Italie, les Etats-Unis, l’Australie et la France.
  4. Niveau d’infection le plus bas : 23 pays dont le Canada, la Nouvelle-Zélande, Porto-Rico, 13 pays européens (dont la Norvège, la Finlande, les Pays-Bas, l’Irlande, l’Allemagne et l’Estonie) ainsi que le Japon et Hong Kong.


Risque d’infection locale des ordinateurs par pays
Deuxième trimestre 2012

Voici le Top 10 des pays les plus sûrs en matière d’infection locale :

Classement Pays % d’utilisateurs uniques**
1 Danemark 12%
2 Réunion 13,4%
3 République tchèque 13,6%
4 Japon 14,6%
5 Luxembourg 15%
6 Suède 15%
7 Suisse 16,2%
8 Finlande 16,3%
9 Allemagne 17,2%
10 Pays-Bas 17,7%

Le Danemark, le Luxembourg, la République tchèque et le Japon se trouvent dans la liste des pays les plus sûrs pour la navigation sur Internet. Mais même au Danemark, nous avons détecté des objets malveillants sur 12 ordinateurs sur 100.

Vulnérabilités

Au cours du deuxième trimestre 2012, 31 687 277 applications et fichiers vulnérables ont été recensés sur les ordinateurs des utilisateurs membres du KSN. Nous avons découvert en moyenne 9 vulnérabilités différentes pour chaque ordinateur vulnérable.

Le Top 10 des vulnérabilités est repris dans le tableau ci-après.

Secunia ID – identifiant unique de la vulnérabilité Nom de la vulnérabilité et lien vers sa description Possibilités offertes aux individus malintentionnés qui utilisent cette vulnérabilité Pourcentage d’utilisateurs chez qui une vulnérabilité a été découverte* Dernière modification Niveau de danger de la vulnérabilité
1 SA 48009 Oracle Java JDK / JRE / SDK Multiple Vulnerabilities

Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local

Accès aux données confidentielles

Manipulation des données

Attaque DoS

31,40% 4/10/2012 Highly Critical
2 SA 48281 Adobe Flash Player Two Vulnerabilities

Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local

Accès aux données confidentielles

20,90% 4/10/2012 Highly Critical
3 SA 48500 VLC Media Player Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local 19,30% 3/21/2012 Highly Critical
4 SA 49472 Oracle Java Multiple Vulnerabilities

Attaque DoS

Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local

Programmation de script inter site

Accès aux données confidentielles

Manipulation des données

16,50% 7/18/2012 Highly Critical
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local 14,40% 1/11/2012 Extremely Critical
6 SA 23655 Microsoft XML Core Services Multiple Vulnerabilities

Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local

Attaque DoS (déni de service)

XSS.

13,50% 7/13/2011 Highly Critical
7 SA 49086 Adobe Shockwave Player Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local 11,40% 5/10/2012 Highly Critical
8 SA 47447 Apple QuickTime Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local 11,30% 6/29/2012 Highly Critical
9 SA 47932 Adobe Shockwave Player Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local 9,80% 2/15/2012 Highly Critical
10 SA 49388 Adobe Flash Player Multiple Vulnerabilities

Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local

Contournement du système de protection

9,20% 6/18/2012 Highly Critical

*Pour 100 % des utilisateurs dont les ordinateurs présentaient ne serait-ce qu’une vulnérabilité.

Comme au trimestre précédent, la première place est occupée par une vulnérabilité dans le produit Java d’Oracle. Elle a été détectée sur 31 % des ordinateurs vulnérables. Notre classement compte un total de 2 vulnérabilités Java.

Des logiciels de l’éditeur Adobe occupent encore cinq des dix places de notre classement : les lecteurs Flash Player et Shockware et l’application populaire de lecture de documents PDF Reader.

La seule nouveauté du classement et la vulnérabilité dans le lecteur de média gratuit VLC.


Editeurs des logiciels vulnérables du Top 10 des vulnérabilités.
Deuxième trimestre 2012

Nous voyons que toutes les vulnérabilités du Top 10 permettent aux individus malintentionnés d’obtenir le contrôle total du système à l’aide de codes d’exploitation. Trois vulnérabilités permettent de réaliser des attaques de type déni de service et offrent également aux individus malintentionnés la possibilité d’accéder aux données confidentielles. Le classement reprend également des vulnérabilités qui permettent de manipuler les données, de déjouer le système de protection et de réaliser des attaques XSS.


Répartition des vulnérabilités du Top 10 par type d’effet sur le système.
Deuxième trimestre 2012

Conclusion

Le nombre de logiciels malveillants pour Android a poursuivi sa progression au deuxième trimestre 2012. En trois mois, notre collection a été enrichie de près de 15 000 fichiers dex malveillants. L’évolution des programmes malveillants pour Android OS se produit également au niveau qualitatif : les auteurs de virus inventent de nouvelles astuces pour compliquer l’analyse et détection de ces programmes malveillants. Ceci traduit l’augmentation du nombre d’auteurs de virus qui passent au développement de programmes malveillants pour appareils nomades. De plus, le marché noir des services de diffusion des programmes malveillants pour appareil nomade se développe, ce qui va entraîner dans un avenir proche une augmentation du nombre d’attaques contre les utilisateurs d’appareils nomades et ces attaques seront de plus en plus rusées.

Les fuites de données depuis des services importants, qui sont devenues un phénomène régulier en raison des actions des hacktivistes, ont provoqué au trimestre dernier la diffusion des mots de passe de millions d’utilisateurs. Malheureusement, nombreux sont les utilisateurs qui possèdent la même combinaison de nom d’utilisateur et de mot de passe pour de nombreux sites, ce qui augmente le risque de perdre des données précieuses. Il faut toutefois signaler que tant les utilisateurs qui aiment les mots de passe simples que les administrateurs de sites qui utilisent des méthodes de cryptage élémentaires sont responsables de la rapidité à laquelle les mots de passe conservés dans ces bases de données ont pu être décryptés. Ce problème n’est pas récent et il existe plusieurs pistes pour le résoudre. On aimerait croire que la fréquence de ces attaques va amener les administrateurs à utiliser des algorithmes de cryptage de mots de passe plus fiables.

Deux conférences importantes de hackers vont avoir lieu au prochain trimestre : BlackHat et Defcon. La tradition veut qu’à l’occasion de ces conférences des intervenants démontrent de nouvelles techniques d’attaques qui trouveront des applications pratiques chez les cybercriminels. On peut dès lors s’attendre à ce que les individus malintentionnés utilisent de nouvelles techniques déjà au troisième trimestre.

L’événement du deuxième trimestre 2012 aura été la découverte du programme de cyberespionnage Flame. Outre sa taille importante et la spécialisation très poussée des outils d’extraction de données des ordinateurs infectés, Flame exploite une méthode de propagation intéressante sur les réseaux locaux via la création d’un faux serveur de mise à jour Windows. De plus, du code semblable à une partie du code de Flame a été détecté dans une version du ver Stuxnet, qui remonte à 2009, qui avait défrayé la chronique. Cela confirme que les développeurs de ces programmes sont en contact.

Le panorama des cyber-armes évoque une boîte de Pandore qui ne peut plus être refermée. De nombreux pays ont déclaré qu’ils allaient élaborer des doctrines applicables au cyberespace et créer des départements spéciaux. L’histoire des cyber-armes ne se limite pas à Duqu ou à Flame. La principale difficulté dans ce cas, c’est l’absence d’un facteur de restriction sous la forme de réglementations internationales en la matière.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *