Développement des menaces informatiques au premier trimestre 2010

Ce rapport a été rédigé sur la base de données obtenues et traitées à l’aide de Kaspersky Security Network (KSN). KSN est une des principales nouveautés introduites par Kaspersky Lab dans sa gamme de produits pour particuliers. Son introduction dans la gamme de produits pour entreprises est en préparation.

KSN permet de découvrir en temps réel les nouveaux programmes malveillants pour lesquels il n’existe pas encore de moyen de détection à l’aide de signatures ou d’analyse heuristique. KSN permet d’identifier les sources de propagation des codes malicieux sur Internet et d’en bloquer l’accès pour les utilisateurs.

De la même manière, KSN permet de réagir très rapidement aux nouvelles menaces. À l’heure actuelle, nous pouvons bloquer l’exécution d’un nouveau programme malveillant sur les ordinateurs des utilisateurs de KSN quelques dixièmes de seconde après la prise de décision sur son caractère nocif et cela, sans recours à la mise à jour traditionnelle des bases antivirus.

Le trimestre en chiffres

  • 327 598 028 tentatives d’infection ont été enregistrées à travers le monde, soit une augmentation de 26,8 % par rapport au trimestre précédent.
  • Les cibles des cybercriminels changent : la part des attaques menées contre les utilisateurs chinois a diminué de 13 %.
  • Internet est dominé par des familles de programmes malveillants qui se composent de codes HTML ou de scripts que les cybercriminels placent en général sur les sites légitimes.
  • 119 674 973 serveurs hébergeant des codes malicieux ont été recensés. La Chine a cédé la place aux États-Unis et à la Russie.
  • Le nombre de vulnérabilités découvertes par rapport au trimestre précédent a augmenté de 6,9 %. Sur les 10 vulnérabilités les plus fréquentes, 6 ont été identifiées dans des produits développés par Microsoft.
  • Le nombre de codes d’exploitation a augmenté de 21,3 %. Près de la moitié de tous les codes d’exploitation visent des vulnérabilités dans les logiciels développés par la société Adobe, ce qui s’explique par la popularité de ses applications et leur utilisation sur plusieurs plateformes.
  • Le moindre périphérique qui peut se synchroniser avec un ordinateur est utilisé par les cybercriminels pour diffuser leurs programmes malveillants. L’hôte le plus inattendu a été un chargeur USB pour piles de la société Energizer.

Survol de la situation

Les événements les plus marquants du premier trimestre 2010 sont liés aux menaces sur Internet. Les téléchargements à la dérobée restent une des techniques préférées des cybercriminels, à partir de chaînes de codes d’exploitation qui utilisent diverses vulnérabilités dans les navigateurs et leurs modules externes.

L’opération « Aurora », visant de grandes entreprises comme Google et Adobe, a fait la une des journaux. Pour mener cette attaque d’envergure, les cybercriminels ont utilisé le code d’exploitation que les logiciels de Kaspersky Lab détectent sous le nom d’Exploit.JS.Aurora. Il exploite la vulnérabilité CVE-2010-0249 découverte dans plusieurs versions d’Internet Explorer. L’attaque s’est déroulée à l’aide de la diffusion ciblée de messages électroniques contenant un lien vers une page hébergeant le code d’exploitation. A l’ouverture de la page, l’utilisateur télécharge sans le savoir le programme malveillant principal. Les cybercriminels obtiennent ainsi des données confidentielles, privées ou professionnelles.

La publication des informations relatives à l’attaque a poussé les autorités allemandes, françaises et australiennes à inviter leurs concitoyens à utiliser d’autres navigateurs qu’Internet Explorer, du moins jusqu’à la diffusion du correctif supprimant la vulnérabilité. Microsoft connaissait l’existence de la vulnérabilité depuis septembre 2009. Microsoft diffuse chaque mois des correctifs pour ses produits. Le jour de la diffusion a d’ailleurs depuis longtemps été baptisé « Patch Tuesday ». Le problème est qu’entre chaque diffusion, les cybercriminels peuvent utiliser les codes d’exploitation de nouvelles vulnérabilités en étant certains à 100 % que les codes d’exploitation fonctionneront sans aucun problème sur la majorité des ordinateurs jusqu’à la prochaine diffusion de correctifs.

En conséquence, Microsoft a diffusé le correctif pour la vulnérabilité CVE-2010-0249 plus tôt que prévu. Il s’agit d’une victoire, modeste certes, mais significative, pour les experts en sécurité. À la fin du trimestre, Microsoft diffusa un autre correctif hors-cycle pour Internet Explorer. La cause de cette diffusion fut l’utilisation d’une vulnérabilité du navigateur dans une nouvelle attaque. Cela signifie que les éditeurs d’applications sont devenus plus responsables lorsqu’il s’agit de la sécurité de leurs produits. Il ne reste plus qu’à espérer que cette leçon ne sera pas oubliée.

À la lumière de ces événements, on pouvait s’attendre à une amélioration de la politique de diffusion et de mise à jour automatique des applications de la société Adobe. C’est ainsi que le 13 avril Adobe dévoila, un nouveau service pour les mises à jour des dernières versions de Reader et Acrobat sous Windows et Mac OS X. Cette nouveauté tombe à pic : selon nos statistiques trimestrielles, les auteurs de virus ont exploité principalement les vulnérabilités des applications d’Adobe et non pas de Microsoft. Et ce, malgré le fait que le nombre de logiciels de Microsoft sans correctif est supérieur au nombre d’applications vulnérables d’Adobe. Le fait que les logiciels d’Adobe soient devenus la cible Nœ1 des auteurs de virus est lié à la popularité des applications de cet éditeur et à leur utilisation sur plusieurs plateformes.

La tendance la plus marquée ces derniers temps consiste en l’actualisation et en la complexification des programmes malveillants existants. Les groupuscules de pirates qui sévissent sur le Web améliorent leurs attaques. Cette tendance est illustrée par la mise à jour du virus le plus populaire Sality, l’ajout d’une nouvelle fonctionnalité au cheval de Troie ZeuS qui lui donne le contrôle total de l’ordinateur infecté et le développement de faux antivirus.

Les faux antivirus qui ont submergé l’Internet anglophone l’année dernière poursuivent leur évolution. À la différence des autres programmes malveillants qui tentent de dissimuler leur activité, les faux antivirus tentent d’attirer l’attention de l’utilisateur. Dans ce contexte, les auteurs des faux antivirus utilisent différentes techniques afin d’augmenter la confusion chez les utilisateurs. Parmi celles-ci, citons la reproduction de l’interface de logiciels antivirus d’éditeurs reconnus dont Avira, AVG et Kaspersky Lab. Malheureusement, plus la copie est fidèle, plus élevée est la probabilité que même l’utilisateur expérimenté mordra à l’hameçon et achètera le faux logiciel. Jusque très récemment, les antivirus authentiques se distinguaient des copies par l’interface multilingue et l’assistance technique. Toutefois, au premier trimestre 2010, nous avons enregistré quelques cas de faux antivirus « localisés ». Le nombre de faux antivirus offrant un semblant d’assistance technique a également augmenté. L’origine de ces astuces vient de la lutte impitoyable menée contre les faux antivirus dans laquelle la formation des utilisateurs occupe la première place. Par conséquent, les cybercriminels doivent trouver de nouvelles astuces pour amener les utilisateurs à acheter de faux antivirus.

Au cours du premier trimestre 2010, presque tous les événements qui ont marqué l’actualité ont été utilisés par les cybercriminels pour attirer un maximum de victimes potentielles vers des pages Web infectées. Ces individus sont dénués de scrupules. « iPad », « Avatar », « Tremblement de terre en Haïti » ou « Attentat à Moscou » figurent parmi les quelques sujets exploités par les cybercriminels. Pour diffuser les liens vers les faux antivirus, les auteurs de virus utilisent diverses méthodes, dont la création de faux comptes dans des réseaux sociaux populaires et la diffusion de billets depuis ces comptes, la diffusion de courrier indésirable et l’empoisonnement des moteurs de recherche. L’empoisonnement des moteurs de recherche repose sur la technique de la promotion de sites traitant d’un sujet défini. C’est ce qu’on appelle également le Black SEO. Les moteurs de recherche étant trompés de la sorte, l’utilisateur qui lance une recherche sur un sujet populaire se voit proposer en premier lieu les liens vers les pages Web infectées. Dans la grande majorité des cas, ces pages servent aux tentatives de téléchargement de faux antivirus sur les ordinateurs des victimes. Il serait ainsi souhaitable que les entreprises qui sont actives dans les moteurs de recherche accordent à ce problème une plus grande importance.

À la mi-décembre 2009, les règles pour l’enregistrement de noms de domaine dans le domaine chinois « .cn » sont devenues plus strictes. Conformément aux nouvelles règles pour l’enregistrement de domaine imposées par « CNNIC », la demande d’enregistrement doit être accompagnée d’une déclaration écrite et, plus important encore, le demandeur doit fournir une preuve d’identité et une licence d’activité commerciale. Les sites déjà enregistrés sont soumis à une vérification et si le propriétaire ne peut pas fournir les données requises, le site est tout simplement fermé. Pour faciliter les contrôles dans le domaine « cn », l’enregistrement via des services étrangers est interdit. Comme l’indiquent les chiffres du premier trimestre 2010, ces mesures strictes ont donné de bons résultats : le volume de contenus malveillants dans cette zone a sensiblement chuté. Nous reviendrons en détail sur ce phénomène dans la rubrique « Répartition géographique des menaces ».

Dans l’ensemble, le premier trimestre a été marqué par des événements qui soulignent l’actualité de la problématique de la protection contre les codes malicieux aussi bien pour les particuliers que pour les entreprises. Il est révélateur de constater que les systèmes informatiques des entreprises sont compromis via les mêmes techniques et à l’aide des mêmes programmes malveillants que les ordinateurs des particuliers. Les groupuscules de pirates créent et améliorent des codes malicieux universels qui peuvent être utilisés à diverses fins et les exemples les plus frappants de ces applications sont peut-être le cheval de Troie Zbot (ZeuS) et les codes d’exploitation en constante évolution. Un tel code universel permet aux pirates d’utiliser diverses méthodes « grises » pour gagner de l’argent, comme en témoignent les statistiques trimestrielles et la part croissante d’applications potentiellement indésirables.

Pays dont les habitants ont le plus souvent été victimes d’attaques

Examinons la liste des pays dans lesquels les utilisateurs ont été le plus souvent victimes de cyberattaques. Ces statistiques, comme l’indiquent les analyses trimestrielles, sont stables, mais il y a eu malgré tout quelques changements.

T1 2010 T4 2009
1 Chine 18,05% 1 Chine 31,07%
2 Fédération de Russie 13,18% 2 Fédération de Russie 9,82%
3 Inde 8,52% 3 Inde 6,19%
4 États-Unis 5,25% 4 Etats-Unis 4,60%
5 Viêt-Nam 3,73% 5 Allemagne 3,08%
6 Allemagne 3,01% 6 Viêt-Nam 3,07%
7 Malaisie 2,69% 7 Ukraine 2,20%
8 France 2,38% 8 Mexique 2,17%
9 Ukraine 2,34% 9 Malaisie 2,05%
10 Espagne 2,30% 10 Espagne 1,90%
11 Italie 2,24% 11 France 1,74%
12 Mexique 2,09% 12 Turquie 1,69%
13 Arabie Saoudite 1,99% 13 Égypte 1,62%
14 Turquie 1,92% 14 Italie 1,62%
15 Royaume-Uni 1,60% 15 Brésil 1,43%
16 Brésil 1,57% 16 Royaume-Uni 1,31%
17 Égypte 1,48% 17 Arabie Saoudite 1,24%
18 Thaïlande 1,30% 18 Pologne 1,04%
19 Philippines 1,11% 19 Thaïlande 1,03%
20 Indonésie 1,08% 20 Bangladesh 0,99%
  Autre 22,16%   Autre 20,12%

Répartition des attaques par pays
T1 2010 et T4 2009

Au premier trimestre 2010, nous avons enregistré 327 598 028 tentatives d’infection d’ordinateurs dans différents pays, soit 26,8 % de plus que par rapport au dernier trimestre 2009. Le classement des pays n’a pas beaucoup changé, mais la part d’attaques contre les utilisateurs chinois a chuté de 13 %. Si l’on tient compte du fait que le nombre global d’attaques a augmenté de 25 %, cela signifie que les cybercriminels ont tout simplement changé de cible.

Les utilisateurs vivant dans des pays dont l’économie est développée ou connaît un développement rapide ont été la principale cible des cybercriminels. Aux Amériques, il s’agit principalement des États-Unis et du Mexique. En Europe, ce sont l’Allemagne, la France, l’Italie, l’Espagne et le Royaume-Uni tandis qu’en Europe de l’Est, la Russie et l’Ukraine. Ces pays possèdent à l’heure actuelle les systèmes de transactions bancaires en ligne et de portes-monnaies électroniques très développés. Par conséquent, les cybercriminels qui s’en prennent aux autochtones ont bien plus de chance de pouvoir voler l’argent de la victime à l’aide des données personnelles dérobées sur l’ordinateur.

Un quart des places du classement revient aux pays d’Asie où l’Internet connaît un développement actif. Les législateurs et les autorités judiciaires ne parviennent pas toujours malheureusement à maintenir le rythme de l’évolution et si l’on ajoute à cela une situation économique qui se dégrade, on obtient le taux de croissance de la cybercriminalité dans ces pays.

Menaces sur Internet

Programmes malveillants sur Internet

Nous commençons notre analyse par le Top 10 des familles de codes malicieux les plus répandues sur Internet. Nous tenons à signaler que le tableau ci-dessous ne tient pas compte des résultats du fonctionnement du sous-système antivirus Internet qui détecte les liens malveillants et non pas le contenu vers lequel mènent ces liens.

Premier trimestre 2010

Nom Pourcentage
1 Iframer 15,90%
2 Generic 7,28%
3 Hexzone 4,57%
4 Agent 4,54%
5 Redirector 4,50%
6 Zwangi 4,35%
7 Popupper 3,08%
8 Iframe 2,63%
9 Boran 2,10%
10 Pakes 1,73%
11 Otros 49,32%

Tableau 1. Top 10 des familles de programmes malveillants sur Internet

La grande majorité des familles de programmes malveillants détectées comportent des codes HTML ou des scripts que les cybercriminels placent en général sur les sites légitimes. Il s’agit d’Iframer, d’Iframe, de Redirector et du grand nombre de codes malicieux identifiés en tant que Generic par l’analyse heuristique. L’idée principale est de rediriger l’utilisateur à son insu vers le site des cybercriminels qui héberge les codes d’exploitation. Bien souvent, ce code est inséré à l’aide de programmes malveillants. La première place en termes de diffusion revient à la famille qui porte le nom intéressant de Hexzone. En réalité, cette famille n’a rien à voir avec le système de calcul hexadécimal. Elle est plus prosaïque. La principale fonctionnalité destructrice des programmes malveillants de cette famille consiste à afficher un bloc de contenus pornographiques dans la partie inférieure de la fenêtre du navigateur. L’utilisateur qui souhaite s’en débarrasser est invité à envoyer un SMS vers un numéro payant (qui change en fonction du pays). La famille de programmes malveillants Popupper fonctionne de manière similaire : elle affiche des documents HTML qui montrent des messages attrayants qui invitent le visiteur à envoyer un SMS vers un numéro payant et à utiliser un service quelconque. Les deux familles Zwangi et Boran regroupent des exemplaires de logiciels publicitaires. Ces programmes permettent aux cybercriminels de gagner de l’argent de manière plus ou moins légale car il est très difficile de s’en prendre juridiquement à ce type d’application. Bien que l’activité destructrice des logiciels publicitaires ne soit pas très expressive (il s’agit principalement de la collecte de données sur les préférences des utilisateurs et de l’affichage de publicités), ils sont parfois utilisés par les pirates. Ainsi, Boran installe un pilote dont les actions évoquent un outil de dissimulation de l’activité : il intercepte les fonctions du noyau du système d’exploitation et empêche ainsi la suppression du composant principal de l’application.

Vulnérabilités

Au premier trimestre 2010, nous avons découvert 12 111 862 vulnérabilités non rectifiées sur les ordinateurs, soit une augmentation de 6,9% par rapport au trimestre précédent. La découverte de nouvelles failles dans la sécurité des ordinateurs s’accélère, tout comme la diffusion des correctifs, mais malheureusement, tous les utilisateurs n’installent pas les mises à jour. Nous attirons votre attention sur le fait que dans la majorité des cas, plus d’une vulnérabilité non rectifiée a été découverte sur chaque ordinateur.

Les 10 applications vulnérables les plus répandues découvertes sur les ordinateurs des utilisateurs au cours du premier trimestre 2010 sont reprises dans le tableau 2.

Secunia ID
– identifiant unique
de la vulnérabilité
Progression
dans le classement
Nom et lien
vers la description
de la vulnérabilité
Possibilités offertes
aux cybercriminels
qui décident d’exploiter
cette vulnérabilité
Pourcentage d’utilisateurs
chez qui une vulnérabilité
a été découverte
Date
de publication
Niveau de danger de la vulnérabilité
1 SA 35377 0 Microsoft Office Word Two Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local 28,62% 2009-06-09 High
2 SA 37231 6 Sun Java JDK / JRE Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local

  • Attaque par DoS contre le système vulnérable
  • Accès aux données confidentielles
  • Contournement du système de sécurité
28,15% 2009-11-04 High
3 SA 38547 Nouveauš! Adobe Flash Player Domain Sandbox Bypass Vulnerability Contournement du système de sécurité 23,37% 2010-02-12 Moderately Critical
4 SA 34572 1 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local 21,91% 2009-04-03 High
5 SA 38551 Nouveauš! Adobe Reader/Acrobat Two Vulnerabilities
  • Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local
  • Contournement du système de sécurité
17,87% 2007-01-09 High
6 SA 31744 1 Microsoft Office OneNote URI Handling Vulnerability Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local 17,57% 2008-09-09 High
7 SA 35364 -5 Microsoft Excel Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local 17,55% 2009-06-09 High
8 SA 38805 Nouveauš! Microsoft Office Excel Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local 16,65% 2010-03-09 High
9 SA 37690 Nouveauš! Adobe Reader/Acrobat Multiple Vulnerabilities
  • Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local
  • Programmation de script inter site
15,27% 2010-01-14 Extremely Critical
10 SA 29320 -1 Microsoft Outlook « mailto: » URI Handling Vulnerability Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local 14,98% 2009-06-10 High

Tableau 2. Top 10 des vulnérabilités découvertes sur les ordinateurs des utilisateurs.
Premier trimestre 2010

6 vulnérabilités du Top 10 ont été découvertes dans des logiciels de Microsoft, 3 dans des logiciels d’Adobe et 1 dans un logiciel Sun qui appartient désormais à Oracle. Alors que la dernière version du rapport ne contenait qu’une nouveauté, le Top 10 de ce trimestre présente 4 nouvelles vulnérabilités. Toutefois, les dates de publication des informations sur les vulnérabilités démontrent une fois de plus à quel point les utilisateurs sont négligents en matière d’installation des mises à jour pour les applications : outre les nouvelles vulnérabilités, le Top 10 contient des vulnérabilités découvertes il y a plus d’un an.

Que peuvent faire les cybercriminels à l’aide de ces vulnérabilités ? 9 vulnérabilités du Top 10 leur permettent d’obtenir un accès total au système. Il existe déjà des codes d’exploitation actifs pour toutes les vulnérabilités citées ci-dessus. Ceci souligne une fois de plus la gravité du problème et l’importance de mettre à jour toutes les applications en temps utile : système d’exploitation, navigateurs, lecteurs de fichiers PDF, lecteurs multmédia, etc.

Codes d’exploitation

Penchons-nous sur les codes d’exploitation utilisés par les cybercriminels au premier trimestre 2010.

Répartition géographique des menaces

La Chine est devenue ces dernières années une usine à malware et, naturellement, les « produits » de cette usine se sont souvent retrouvés sur des serveurs situés dans l’Empire du milieu. C’est cet élément qui pendant longtemps a garanti la première position de la Chine au niveau des serveurs hébergeant des programmes malveillants. Passons maintenant au Top 20 des pays hébergeurs de serveurs avec des programmes malveillants pour le dernier trimestre 2009 et le premier trimestre 2010.

T1 2010 T4 2009
1 États-Unis 27,57% 1 Chine 32,80%
2 Fédération de Russie 22,59% 2 États-Unis 25,03%
3 Chine 12,84% 3 Pays-Bas 11,73%
4 Pays-Bas 8,28% 4 Fédération de Russie 7,97%
5 Espagne 6,83% 5 Allemagne 3,49%
6 Allemagne 6,78% 6 Suède 2,75%
7 Royaume-Uni 3,29% 7 Royaume-Uni 2,39%
8 Philippines 1,60% 8 Philippines 2,02%
9 Ukraine 1,35% 9 Canada 1,70%
10 Canada 1,29% 10 France 1,50%
11 Suède 0,95% 11 Israël 1,06%
12 France 0,80% 12 Espagne 0,87%
13 Turquie 0,72% 13 Ukraine 0,72%
14 Australie 0,48% 14 Turquie 0,53%
15 Moldavie, République de 0,42% 15 Luxembourg 0,46%
16 Lettonie 0,31% 16 Australie 0,43%
17 République tchèque 0,31% 17 Corée, République de 0,42%
18 Luxembourg 0,26% 18 Taïwan 0,41%
19 Malaisie 0,26% 19 Lettonie 0,40%
20 Viêt-Nam 0,25% 20 Hong Kong 0,33%
  Autre 2,80%   Autre 2,98%

Top 20 des pays où se trouvent des serveurs avec du malware
pour T1 2010 et T4 2009

La Chine n’occupe plus la première place et a reculé de 2 positions. Ce recul s’explique sans aucun doute par le fait que les autorités chinoises ont offert aux cybercriminels un très beau « cadeau » de Noël et ont durci la politique relative à l’enregistrement des adresses Internet dans le domaine chinois « .cn » Le durcissement des règles d’enregistrement dans un pays ne peut malheureusement pas entraîner l’arrêt des activités cybercriminelles, que cela nous plaise ou non. Le code malveillant et le contenu indésirable ont tout simplement migré. Ces « immigrants » au lourd passé se sont dirigés vers 2 pays : la Russie et les États-Unis, mais principalement vers la Russie. Il semblerait que les cybercriminels soient attirés par les lois russes relativement laxistes. Ces éléments sont confirmés non seulement par les statistiques sur l’hébergement de programmes malveillants, mais également par les statistiques sur le courrier indésirable et l’hameçonnage. Il ne reste plus qu’à espérer que les nouvelles règles en vigueur depuis le 1er avril 2010 en Russie entraîneront un effet similaire à celui enregistré en Chine.

Menaces sur les ordinateurs des utilisateurs

Si le malware parvient à passer au travers des mailles des filets de la protection Internet et du courrier, il se retrouve sur l’ordinateur de l’utilisateur où l’attend un logiciel antivirus. Voyons les éléments qui ont été détectés par cette dernière ligne de défense. Le tableau suivant reprend la répartition des comportements des objets détectés au dernier trimestre 2009 et au premier trimestre 2010.

Réseaux de zombies. La lutte s’intensifie

La bataille contre les réseaux de zombies prend de l’ampleur. Toute la communauté, y compris les autorités judiciaires, a pris conscience du danger que représente la cybercriminalité. Les actions conjointes de différentes structures et sociétés, depuis les éditeurs de logiciels jusqu’aux organismes du niveau fédéral de nombreux pays (par exemple la Commission fédérale sur le commerce aux États-Unis) ont déjà permis de mettre hors ligne plusieurs centres de commande de quelques réseaux de zombies importants.

Au début de l’année 2010, une partie des serveurs de commande d’un réseau de zombies créé à l’aide du programme malveillant Email-worm.Win32.Iksmas connu également sous le nom de Waledac fut mise hors ligne. Ce réseau de zombies est connu pour ses capacités de diffusion de messages non sollicités (jusqu’à 1,5 milliards de messages par jour), l’utilisation de sujets d’actualité dans les messages non sollicités avec des liens vers Iksmas, l’aspect polymorphe du bot côté serveur et le recours à la technologie fast-flux. Cela donne un réseau de zombies relativement complexe et dangereux. Le 22 février, la cour fédérale de l’État de Virginie a répondu à la demande de Microsoft et a autorisé l’arrêt du service de 277 domaines liées au système d’administration du réseau de zombies. Tous ces domaines avaient été enregistrés dans la zone .com, dont l’opérateur est la société américaine VeriSign. Cette victoire ne fut malheureusement que de courte durée. Après la mise hors ligne d’une partie des centres de commande, les cybercriminels déplacent les centres d’administration du réseau de zombies vers d’autres domaines et continuent à diffuser du courrier indésirable. Les mesures ponctuelles ne suffisent pas pour venir à bout de tels opposants : il faut mener un travail constant ciblé sur la fermeture des centres de commande du réseau de zombies. Et c’est cette lutte de tous les instants qui doit être la prochaine étape dans la lutte contre les réseaux de zombies. J’espère que de telles mesures seront adoptées dans un avenir proche.

Outre la mise hors ligne des centres de commande, il existe une autre forme possible de lutte contre les réseaux de zombies. Elle est plus compliquée du point de vue du travail des autorités judiciaires, mais elle est plus efficace. Je veux parler de la capture des auteurs de virus. Les autorités espagnoles ont arrêté les propriétaires d’un des grands réseaux de zombies. Le réseau de zombies « Mariposa » a été créé à l’aide du vers P2P-worm.Win32.Palevo qui possède des fonctionnalités élargies aussi bien au niveau de la diffusion automatique que des actions malveillantes. Il se diffuse via les réseaux P2P, les messageries instantanées et la technique autorun, à savoir via n’importe quel périphérique amovible, depuis l’appareil photo jusqu’aux lecteurs Flash. Une fois que le programme malveillant s’était installé sur l’ordinateur de la victime, les cyber-délinquants obtenaient le contrôle total de l’ordinateur et pouvaient télécharger n’importe quel module complémentaire. Pour gagner de l’argent, il leur suffit alors de vendre et d’utiliser les données personnelles des propriétaires des ordinateurs infectés, telles que les données d’accès à différents services, principalement des services de transactions bancaires en ligne.

La collaboration avec les fournisseurs d’accès a permis de mettre les centres de commande du réseau de zombies hors ligne, puis d’identifier un des ordinateurs des propriétaires du réseau infecté. Dans la majorité des cas, il est extrêmement difficile de définir l’origine des commandes. Mais dans le cas de Palevo, la tâche fut des plus simples : les individus qui exploitaient le réseau de zombies n’étaient pas très doués au niveau technologique. L’un d’entre eux essayait notamment de contrôler le réseau de zombies depuis son ordinateur personnel.

L’histoire du réseau de zombies « Mariposa » démontre une fois de plus que les cybercriminels ne possèdent pas toujours de solides connaissances techniques. Dans le monde moderne, tout s’achète et tout se vend et les réseaux de zombies ne sont pas une exception. Et il est également possible d’obtenir assez facilement un service de dissimulation de source des commandes d’administration du réseau de zombies et il n’y a eu jusqu’à présent aucun procès à l’encontre des personnes offrant de tels services.

Pour lutter efficacement contre les réseaux de zombies, il faut absolument des actes concrets dans le domaine juridique associés à l’utilisation des technologies les plus récentes en matière de protection informatique. Il ne faut pas oublier que les ordinateurs qui forment le réseau de zombies demeurent infectés même après la mise hors ligne des centres de commande. Ce qui est dangereux. Les modifications qui ont été introduites dans le système par les programmes malveillants ne disparaissent pas : si les requêtes des utilisateurs étaient redirigées vers des ressources malveillantes, elles le seront toujours et si les disques ont été partagés, ils le resteront. De plus, les cybercriminels peuvent à nouveau prendre les commandes des ordinateurs infectés. Seule une approche globale de la problématique des réseaux de zombies peut compliquer la vie des cyber-délinquants et protéger leurs victimes potentielles.

Que nous réserve l’avenir ?

Nous nous attendons à de nouveaux procès de cybercriminels au prochain trimestre. Heureusement, les autorités judiciaires de plusieurs pays ont commencé à s’intéresser sérieusement à ce problème et les mesures qu’elles adoptent jouent un rôle crucial dans la géographie de la cybercriminalité. Le plus important est que cette lutte ne se mène pas uniquement sur papier, mais dans la pratique également. Car aujourd’hui, il n’est pas nécessaire d’être un superprogrammeur pour devenir cybercriminel. L’activité du marché noir, où tout ce qui est nécessaire au cybercriminel se vend, depuis le programme malveillant jusqu’aux centres de commandes de réseaux de zombies, liée au chômage croissant, peut donner naissance à une nouvelle génération de cybercriminels sur un marché cyber-délinquant déjà saturé. Il est plus que probable que la lutte entre les chevaux de Troie pour le contrôle des ordinateurs va devenir plus acharnée. Les programmes malveillants vont résister de façon plus active aux logiciels antivirus. Nous nous attendons également au perfectionnement des modes de propagation des chevaux de Troie existants.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *