Evolution des menaces informatiques au 3e trimestre 2014

Aperçu

Attaques ciblées et campagnes de malwares

Sur les traces du Yéti

Nous avons publié en juillet notre analyse détaillée d’une campagne d’attaques ciblées que nous avions baptisée ‘Crouching Yeti’.

Cette campagne, active depuis la fin 2010, a ciblé jusqu’à présent les secteurs suivants :  industrie, fabrication, secteur pharmaceutique, construction, éducation et technologies de l’information.  A ce jour, le nombre de victimes à travers le monde s’élève à 2 800 et nous avons été en mesure d’identifier 101 organisations différentes, principalement aux Etats-Unis, en Espagne, au Japon, en Allemagne, en France, en Italie, en Turquie, en Irlande, en Pologne et en Chine.

La liste des victimes laisse penser que les attaquants à l’origine de Crouching Yeti poursuivent des cibles stratégiques.  Ceci étant dit, ils ont également manifesté un intérêt pour des institutions moins évidentes.

Les attaquants à l’origine de Crouching Yeti utilisent différents types de malwares (tous conçus pour infecter les systèmes tournant sous Windows) pour infiltrer les victimes, étendre leur présence dans les organisations cibles et voler la propriété intellectuelle et autres informations stratégiques confidentielles.  Les ordinateurs infectés se connectent à un grand réseau de sites Internet piratés qui hébergent des modules malveillants, contiennent des informations sur les victimes et envoient des commandes aux systèmes infectés.

Les attaquants infectent leurs victimes à l’aide de trois méthodes.  La première consiste à utiliser un programme d’installation de logiciel légitime modifié afin de contenir un fichier DLL malveillant.  Ces archives auto-extractibles modifiées peuvent être chargées directement sur un serveur compromis ou envoyées directement par courrier électronique à une personne au sein de l’organisation ciblée.  La deuxième méthode repose sur la technique du harponnage afin de remettre à la victime un fichier XDL (XML Data Package) malveillant contenant un code d’exploitation Flash (CVE-2011-0611).  La troisième et dernière méthode implique l’organisation d’attaques selon la technique du  « trou d’eau »*.  Les sites Internet compromis utilisent divers codes d’exploitation (CVE-2013-2465, CVE-2013-1347 et CVE-2012-1723) pour rediriger les visiteurs vers des fichiers JAR ou HTML malveillants hébergés sur d’autres sites maintenus par les attaquants. 

*Le terme "trou d’eau" désigne un site Internet qui sera probablement visité par des victimes potentielles.  Les attaques compromettent au préalable ces sites. Ils sont modifiés afin d’installer un malware sur les ordinateurs des visiteurs du site compromis.

Le Trojan Havex, un des malwares utilisés par les attaquants, inclut des modules spéciaux qui permettent de récolter les données dans certains environnements informatiques industriels.  Le premier d’entre eux est le module de balayage OPC. Ce module permet de récolter des données extrêmement détaillées sur les serveurs OPC exécutés sur le réseau local. Les serveurs OPC (Object Linking and Embedding (OLE) for Process Control) sont souvent utilisés dans les environnements où plusieurs systèmes d’automatisation industriels fonctionnent.  Ce module est accompagné d’un outil de balayage de réseau.  Il balaie le réseau local, recherche tous les ordinateurs qui écoutent les ports liés à un logiciel OPC/SCADA (Supervisory Control and Data Acquisition) et tente de se connecter à ces hôtes dans le but d’identifier quel système OPC/SCADA potentiel est en cours d’exécution. Il transmet ensuite toutes les données obtenues aux serveurs de commande utilisés par les attaquants pour gérer la campagne.

Dans le cadre de l’analyse du code, nous avons été attentifs aux indices qui auraient pu permettre d’identifier les attaquants.

L’analyse de l’horodatage de 154 fichiers a indiqué que la majorité des échantillons avait été compilée entre 6h00 et 16h00 UTC.  Cela pourrait correspondre à n’importe quel pays européen.  Nous avons également essayé d’identifier la langue des attaquants.  Le malware contient des chaînes en anglais (écrites par une personne qui n’est pas anglophone).  D’autres éléments semblaient faire pencher la balance vers des individus qui parleraient français ou suédois.  Mais à la différence de plusieurs autres chercheurs qui ont étudié Crouching Yeti, nous n’avons rien trouvé qui permettrait d’affirmer sans aucun doute que les attaquants sont russes.  Les 200 fichiers binaires malveillants et le contenu opérationnel connexe ne contiennent pas de cyrillique (ou de translitération), à la différence de ce que nous avions observé dans des campagnes d’attaques ciblées antérieures comme Red October, MiniDuke, CosmicDuke, the Snae et TeamSpy.

Un cas de cyberespionnage épique

Pendant plus d’un an, Kaspersky Lab a étudié une campagne de cyberespionnage sophistiquée que nous avons baptisée "Epic Turla".  Cette campagne, qui remonte à 2012, vise des institutions gouvernementales, des ambassades, des organisations militaires, de recherche et académiques et des sociétés pharmaceutiques.  La majorité des victimes se trouve au Moyen-Orient et en Europe. Mais nous avons également repéré des victimes aux Etats-Unis.  Dans l’ensemble, nous avons identifié plusieurs centaines d’adresses IP de victimes dans plus de 45 pays.

Lorsque nous avons publié les premiers résultats de notre recherche sur cette campagne, nous ne connaissions pas grand-chose du mécanisme d’infection des victimes.  Dans notre rapport le plus récent publié au mois d’août, nous avons mis en évidence les mécanismes d’infection adoptés par Epic Turla et la place qu’ils occupent dans la structure de la campagne globale.

Les attaquants infectent l’ordinateur des victimes via des astuces d’ingénierie sociale, surtout des messages de harponnage et les attaques via des « trous d’eau ».

Certains de ces messages de harponnage contiennent des codes d’exploitation de type 0jour.  Le premier d’entre eux, qui touche Adobe Acrobat Reader (CVE-2013-3346), permet aux attaquants d’exécuter de manière arbitraire du code sur l’ordinateur de la victime.  Le deuxième, une vulnérabilité d’augmentation des privilèges dans Windows XP et Windows Server 2003 (CVE-2013-5065), fournit à la backdoor Epic Turla des autorisations d’administrateur sur l’ordinateur de la victime.  De plus, les attaquants amènent leurs victimes à exécuter des programmes d’installation de malwares dotés d’une extension SRC, parfois compactés à l’aide de RAR.  Quand les victimes ouvrent un fichier infecté, une backdoor est installée sur l’ordinateur, ce qui offre aux attaquants la commande totale du poste.

Les cybercriminels à l’origine d’Epic Turla utilisent également des attaques par « trou d’eau » qui déploient un code d’exploitation Java (CVE-2012-1723), des codes d’exploitation Adobe Flash et des codes d’exploitation Internet Explorer.  D’autres privilégient l’ingénierie sociale pour amener les victimes à exécuter de faux programmes d’installation Flash Player qui sont en réalité des programmes malveillants.  Sur la base de l’adresse IP de la victime, les attaquants utilisent des codes d’exploitation Java ou de navigateur, un faux logiciel Adobe Player signé ou une fausse version de Microsoft Security Essentials.  Nous avons détectés plus de 100 sites Internet infectés. Le choix des sites Internet reflète les intérêts des attaquants (ainsi que les intérêts des victimes), et cela n’a rien de surprenant. Par exemple, bon nombre de sites Internet infectés en espagnol appartiennent aux autorités locales.

Une fois que l’ordinateur a été infecté, la backdoor Epic Turla (connue également sous les noms ‘WorldCupSec’, ‘TadjMakhal’, ‘Wipbot’ et ‘Tadvig’) se connecte sur le champ au centre de commande afin d’envoyer un paquet qui reprend les informations relatives au système de la victime. Sur la base de ces informations, les attaquants envoient des fichiers batch préconfigurés qui contiennent une série de commandes qui doivent être exécutées sur l’ordinateur infecté.   Les attaquants chargent également des outils personnalisés connexes (dont un enregistreur de frappes spécifique et un compacteur RAR) ainsi que des utilitaires standard tels qu’un outil de requête DNS de Microsoft.

Notre analyse a démontré que la backdoor Epic Turla n’est que la première étape d’un processus d’infection plus large.  Elle permet de déployer une backdoor plus sophistiquée baptisée "Cobra/Carbon system" (ou ‘Pfinet’ dans certains logiciels antivirus).  Après un certain temps, les attaquants ont franchi une nouvelle étape et ont utilisé l’implant Epic Turla afin de mettre à jour le fichier de configuration Carbon depuis d’autres serveurs de commande. Les connaissances uniques requises pour utiliser ces deux backdoors indiquent un rapport clair et direct entre les deux : une permet de mettre un pied dans le système et de valider la victime de haut vol.  Si la victime est intéressante pour les attaquants, le système Carbon complet est alors installé sur l’ordinateur compromis.

Voici un aperçu de l’ensemble de la campagne de cyber-espionnage Epic Turla :

Identifiez les auteurs de ces attaques n’est jamais une tâche aisée.  Toutefois, certains éléments du code nous fournissent des renseignements sur les auteurs.  Il est évident que l’anglais n’est pas leur langue maternelle.  Ils commettent souvent des erreurs d’orthographe et de syntaxe, par exemple

‘Password it’s wrong!’
‘File is not exists’
‘File is exists for edit’

D’autres éléments pointent vers l’origine des attaquants.  Par exemple, certaines des backdoors ont été compilées sur un système en russe.  De plus, le nom interne d’une des backdoors d’Epic Turla est "Zagruzchik.dll", qui signifie "chargeur d’amorçage" ou "programme de chargement" en russe.  Finalement, le panneau de commande principal d’Epic Turla utilise le code de page 1251, propre aux caractères cyrilliques.

NetTraveler découvre une nouvelle jeunesse

Nous avons déjà évoqué cette campagne d’attaques ciblées qui a été active à plusieurs reprises au cours des 10 dernières années.

Au début de cette année, nous avons observé une augmentation du nombre d’attaques contre des activistes ouïghours et tibétains à l’aide d’une version actualisée de la backdoor NetTraveler.  Les attaquants attirent leurs victimes à l’aide de messages de harponnage :  les messages sont accompagnés d’un document Microsoft Word qui contient le code d’exploitation CVE-2012-0158.  Celui-ci permet d’introduire le module principal ("net.exe") sur l’ordinateur afin qu’il puisse à son tour installer un certain nombre d’autres fichiers, dont le module de commande principal.  Ce module est enregistré en tant que service ("Windowsupdata") à l’aide d’un fichier batch Windows nommé ‘dot.bat’.  Le format du fichier de configuration du malware a également été modifié et il est évident que les attaquants ont adopté des mesures pour tenter de masquer la configuration (le chiffrement utilisé est toutefois faible).

Les centres d’intérêt des attaquants ont changé au fil du temps.  Pendant la majeure partie de son existence, NetTraveler a visé principalement les organismes diplomatiques, gouvernementaux et militaires.  Plus récemment, ses activités de cyberespionnage ont porté avant tout sur des organisations impliquées dans l’exploration spatiale, les nanotechnologies, la production d’énergie, l’énergie nucléaire, les lasers, la médecine et les communications.

Les attaques contre les activistes ouïghours et tibétains demeurent au cœur des activités des attaquants.

Le château de cartes des malwares syriens

La technologie est au cœur de notre vie de tous les jours et il n’est dès lors pas étonnant d’observer une dimension cybernétique dans les conflits à travers le monde.  Ceci est particulièrement vrai pour le Moyen-Orient où les conflits géo-politiques se sont intensifiés au cours des dernières années.  L’équipe internationale de recherche et d’analyse de Kaspersky Lab  a analysé l’augmentation récente de l’activité des malwares en Syrie.

Les auteurs de ces attaques utilisent l’ingénierie sociale pour amener leurs victimes à ouvrir des fichiers infectés.  Ils ont recours au courrier électronique, aux messages Skype, aux publications sur Facebook et aux vidéos de Youtube.

Ils utilisent divers "hameçons" et exploitent la confiance des victimes vis-à-vis des forums de réseaux sociaux, leur intérêts pour les nouvelles en rapport avec le conflit syrien, leur crainte du gouvernement et leur manque de connaissances techniques.

Parmi les exemples, nous pouvons citer une vidéo sur Youtube qui présente les victimes de bombardements récents et qui invite également les visiteurs à télécharger un malware depuis un site de partage de fichiers public.  Nous avons également découvert un ensemble de fichiers compressés sur un site de réseau social fréquenté. Ces fichiers dévoilent une base de données contenant une liste d’activistes et d’individus recherchés en Syrie.  Le lien de téléchargement pour cette application de base de données se trouvait dans la description d’une vidéo publiée le 9 novembre 2013.  Les attaquants utilisent également de fausses solutions de protection contre les malwares pour tromper leurs victimes, notamment un faux logiciel antivirus baptisé "Ammazon Internet Security’ et une version Trojan de Total Network Monitor, un outil légitime de contrôle du réseau.  Mais ils ne se limitent pas aux fausses applications de sécurité. Nous avons également détecté de fausses versions des clients de messagerie instantanée WhatsApp et Viber.

Les attaquants exploitent un certain nombre d’outils d’accès à distance (RAT) connus. Il s’agit de programmes malveillants qui permettent à un "opérateur" distant de commander un ordinateur compromis comme s’il pouvait y accéder physiquement.  Ces outils sont largement utilisés dans les cyberattaques en tout genre, de même que dans certaines attaques parrainées par des états.  Parmi les RAT utilisés dans cette campagne, citons ‘ShadowTech’, ‘Xtreme’, ‘NjRAT’,’ Bitcoment’, ‘Dark Comet’ et ‘Blackshades’.  Le malware permet de surveiller les victimes, de récolter des informations et, dans certains cas, de tenter de mettre un terme à leurs opérations.

Ces attaques ne visent pas uniquement les utilisateurs qui se trouvent en Syrie.  Elles ont également fait des victimes en Turquie, en Arabie Saoudite, au Liban, en Palestine, aux Emirats arabes unis, en Israël, au Maroc, en France et aux Etats-Unis.

Nous avons été en mesure d’associer les serveurs de commande des attaquants à des adresses IP en Syrie, en Russie, au Liban, aux Etats-Unis et au Brésil.  Au total, nous avons identifié 110 fichiers, 20 domaines et 47 adresses IP associés aux attaques.

Le nombre d’attaque a connu une augmentation sensible au cours des 12 derniers mois.  De plus, il ne fait aucun doute que les groupes impliqués dans ces attaques sont bien organisés.  Jusqu’à présent, les attaquants ont utilisé des outils malveillants connus au lieu de développer leurs propres outils (bien qu’ils utilisent une variété de méthodes d’obfuscation pour déjouer la simple détection à l’aide de signatures).  Nous estimons toutefois qu’il faut s’attendre à une augmentation du nombre et de la sophistication des malwares utilisés dans la région.

Le rapport complet sur ce malware est accessible ici.

Histoires de malware

Shylock, une livre de votre chair

Au début de cette année, Kaspersky Lab a rejoint une alliance composée de représentants des autorités judiciaires et policières et d’autres acteurs du secteur, sous l’égide de la National Crime Agency (NCA) du Royaume-Uni pour démanteler l’infrastructure du Trojan Shylock.  Cette alliance démontre à quel point une coopération internationale peut avoir des résultats positifs sur la lutte contre la cybercriminalité.

Ce Trojan-Banker, baptisé Shylock car son code contenait des extraits du Marchand de Venise de Shakespeare, fut découvert en 2011.  A l’instar d’autres Trojan-Bankers bien connus comme ZeuS, SpyEye et Carberp, Shylock mène une attaque de type "homme dans le navigateur" afin de voler les informations d’authentification sur l’ordinateur des clients d’une banque afin de pouvoir accéder aux services de banque électronique.  Le Trojan utilise une liste préconfigurée de banques cibles, situées dans différents pays.

Il injecte de faux champs de saisie de données dans les pages Web chargées sur l’ordinateur des victimes.  En général, les victimes sont amenées à exécuter le malware en cliquant sur des liens malveillants.  Shylock tente alors d’accéder à l’argent déposé dans des comptes professionnels ou personnels afin de le transférer vers des comptes contrôlés par les attaquants.

Les centres d’intérêt des cybercriminels ont changé au fil du temps.  Lorsque Shylock a fait son apparition, il visait principalement les clients de banques au Royaume-Uni et au cours de l’année 2012, il a étendu son champ d’action à d’autres pays en Europe et aux Etats-Unis.  A la fin de l’année 2013, les cybercriminels se sont concentrés sur le développement de leurs activités au Brésil, en Russie et au Viet Nam.  Vous trouverez de plus amples informations, y compris les données sur la répartition du malware, ici.

Tous les Trojan-Bankers, y compris Shylock, visent les clients de banque en espérant pouvoir exploiter l’élément qui est souvent le moins protégé dans le cadre d’une transaction financière : l’être humain.  C’est la raison pour laquelle il ne faut jamais oublier que la sécurité commence chez soi : nous devons tous veiller à utiliser des mesures de protection efficaces pour nos ordinateurs.

La bourse ou les fichiers !

Le nombre de programmes de la catégorie ransomware a augmenté au cours des dernières années et ils ne s’attaquent pas exclusivement aux ordinateurs Windows.  Certains d’entre eux, dont les malwares qui visent les périphériques Android, se contentent de bloquer l’accès au périphérique et exigent le versement d’une rançon pour le débloquer.

Mais de nombreux ransomwares vont plus loin et chiffrent les données sur l’ordinateur des victimes.  ZeroLocker est un des exemples récents.

A la différence de la majorité des ransomwares qui chiffrent une liste prédéfinie de types de fichiers, ZeroLocker chiffre presque tous les fichiers sur l’ordinateur de la victime et leur ajoute l’extension ".encrypt".  ZeroLocker ne chiffre pas les fichiers qui se trouvent dans les répertoires qui contiennent les mots ‘Windows’, ‘WINDOWS’, ‘Program Files’, ‘ZeroLocker’ ou ‘Destroy’ et il ne chiffre pas non plus les fichiers dont la taille est supérieure à 20 Mo.

ZeroLocker crée une clé AES de 160 bits qu’il utilise pour chiffrer tous les fichiers.  L’espace de la clé est limité en raison de la manière dont elle est créée, mais sa longueur est toutefois suffisante pour empêcher tout déchiffrement par force brute.  Une fois que les fichiers ont été chiffrés, le malware exécute l’utilitaire "cipher.exe" qui supprime toutes les données non utilisées du lecteur, ce qui complique la récupération des fichiers.  La clé de chiffrement, un CRC32 de l’adresse MAC de l’ordinateur et le portefeuille Bitcoin associé sont envoyés au serveur utilisé par les cybercriminels.  Certains éléments laissent penser que la configuration du serveur de commande contient des erreurs qui pourraient empêcher la réussite du déchiffrement, ce qui constitue une raison supplémentaire pour ne pas payer la rançon.

La clé de chiffrement, ainsi que les autres informations, est envoyée via une requête GET, au lieu d’une requête POST.  Cela provoque une erreur 404 sur le serveur.  Cela pourrait signifier que le serveur ne stocke pas les informations. Autrement dit, les victimes ne récupèreront certainement pas leurs fichiers, même si elles paient la rançon.

Plusieurs des autres adresses Internet utilisées par le malware donnent également des erreurs 404.  L’opération n’en est peut-être qu’à ses débuts.  Si ces erreurs sont éliminées, on peut s’attendre à un déploiement à plus grande échelle de ZeroLocker.

Les cybercriminels à l’origine de ZeroLocker exigent un paiement initial en bitcoins équivalent à 300 dollars américains pour déchiffrer les fichiers.  Si la victime ne paie pas tout de suite, le montant passe à 500, puis à 1 000 dollars américains au fil du temps.

Un portefeuille Bitcoin est codé en dur dans le fichier binaire, mais le malware tente de récupérer une nouvelle adresse de portefeuille sur le serveur de commande, probablement pour éviter de montrer le degré de réussite de l’opération et pour masquer les traces de l’argent.  Nous n’avons vu aucune transaction associée aux adresses de portefeuilles Bitcoin que nous avons examinées.  Vu que le serveur de commande fourni des informations sur le portefeuille Bitcoin, il se pourrait que les attaquants soient capables d’utiliser un portefeuille unique pour chaque victime.

Onion est un autre ransomware que nous avons analysé récemment.  Ce malware utilise la méthode éprouvée par d’autres ransomwares récents : chiffrer les données de la victime et exiger le versement d’une rançon en bitcoins.

Mais il introduit des nouveautés.  Tout d’abord, Onion dissimule ses serveurs de commande sur le réseau anonyme Tor.  Ceci complique l’identification des cybercriminels qui utilisent le malware.  Ce n’est pas la première fois qu’un malware utilise Tor, mais dans ce cas précis, ce Trojan prend en charge une interaction complète avec Tor sans aucune intervention de la victime.  D’autres programmes similaires communiquent avec le réseau Tor en lançant (parfois en injectant du code dans d’autres processus) le fichier légitime "tor.exe".  Onion, quant à lui, met en œuvre cette communication dans le cadre du code du malware en lui-même.

Onion utilise également un algorithme de chiffrement inhabituel qui rend le déchiffrement des fichiers impossible, même en cas d’interception du trafic entre le Trojan et le serveur de commande.  Non seulement ce Trojan utilise un chiffrement asymétrique, mais il emploie également un protocole de chiffrement connu sous le nom ECDH (Elliptic Curve Diffie-Hellman).  Le déchiffrement est impossible sans la clé privée principale qui ne quitte jamais le serveur contrôlé des cybercriminels.  Si vous souhaitez en savoir plus, vous pouvez consulter notre rapport sur le Trojan Onion.

L’ensemble de ces éléments font du Trojan Onion une menace très développée sur le plan technique et très dangereuse.

Les cybercriminels qui utilisent les ransomwares vivent des victimes qui paient.  Ne payez pas.  Réalisez, au contraire, des sauvegardes régulières de vos données.  Ainsi, le jour où vous serez victime d’un ransomware (ou d’un problème matériel qui vous empêche d’accéder à vos fichiers), vous ne perdrez aucune de vos données.

Pourquoi un de nos chercheurs en sécurité a décidé de pirater sa maison

Internet est chaque jour un peu plus présent dans nos vies. Parfois, cette présence saute aux yeux car la connectivité est proposée dans des objets de tous les jours.  Cette tendance, connue sous l’expression "Internet des objets", a suscité une attention toujours plus grande alors que les pirates et les spécialistes en sécurité recherchent des vulnérabilités dans les technologies intégrées aux véhicules, aux hôtels, aux systèmes d’alarme de maison, aux réfrigérateurs et à bien d’autres objets .

Parfois, l’Internet des objets semble être un concept bien distant.  Mais il est bien souvent plus proche que nous le pensons.  Si vous entrez dans une maison aujourd’hui, il est probable que vous y trouverez des périphériques connectés au réseau local, mais qui ne sont pas des périphériques traditionnels comme des ordinateurs, des tablettes ou des téléphones mobiles, mais bien un téléviseur intelligent, une imprimante, une console de jeu, un périphérique de stockage en réseau ou un type de lecteur de média ou de décodeur satellite.

David Jacoby, un de nos chercheurs en sécurité, a étudié sa propre maison afin de définir son niveau de cybersécurité.  Il a étudié plusieurs périphériques, dont des périphériques de stockage connectés au réseau, un téléviseur intelligent, un routeur et un décodeur satellite afin de voir s’ils étaient vulnérables à une attaque.  Les résultats furent surprenants.  David a détecté 14 vulnérabilités dans les périphériques de stockage connectés au réseau, une dans le téléviseur intelligent et plusieurs fonctions de commande à distance potentielles dissimulées dans le routeur.

Ce sont les périphériques de stockage connectés au réseau qui présentaient les vulnérabilités les plus graves.  Plusieurs d’entre elles permettraient à un attaquant d’exécuter à distances des commandes système sous les autorisations d’administration les plus hautes.  Les mots de passe par défaut des périphériques testés n’étaient pas robustes et étaient stockés en clair. De plus, les fichiers de configuration de ces périphériques possédaient les mauvaises autorisations.  Le mot de passe d’administrateur par défaut pour un des périphériques ne contenait qu’un seul chiffre.  Tandis que dans un autre périphérique, le fichier de configuration complet, avec des mots de passe chiffrés, était partagé avec l’ensemble du réseau.

David a également pu charger un fichier dans une zone de la mémoire de stockage inaccessible à un utilisateur normal.  Si un attaquant parvenait à charger un fichier malveillant dans cette zone, le périphérique compromis pourrait devenir un foyer d’infection pour d’autres périphériques qui s’y connecteraient, l’ordinateur familial par exemple, et pourrait même servir de bot DDoS dans un réseau de zombies. Et comme si cela ne suffisait pas, la seule manière de supprimer ce fichier passait par l’utilisation de cette même vulnérabilité, ce qui n’est pas une mince affaire même pour un technicien averti.

Lorsque David s’est tourné vers son téléviseur intelligent, il a découvert que la communication entre le téléviseur et les serveurs du fournisseur n’était pas chiffrée, ce qui laissait la porte ouverte à une attaque potentielle de type "homme au milieu" au cours de laquelle le consommateur pourrait envoyer de l’argent aux escrocs alors qu’il tente d’acheter du contenu via le téléviseur.  A titre de preuve de concept, David a réussi à remplacer une des icônes de l’interface graphique du téléviseur par une image.  En temps normal, les widgets et les vignettes sont téléchargés depuis les serveurs du fournisseur de contenu, mais dans la mesure où la connexion n’est pas chiffrée, ces informations pourraient être modifiées par un tiers.  Il a découvert également que le téléviseur intelligent pouvait exécuter un code Java qui, associé à la possibilité d’intercepter le trafic échangé entre le téléviseur et Internet, était en mesure de réaliser des attaques sur la base de codes d’exploitation.

Le routeur DSL, utilisé pour offrir un accès Internet sans fil aux autres périphériques de la maison, contenait plusieurs fonctions dangereuses dont le propriétaire ne pouvait soupçonner l’existence.  Certaines de ces fonctions dissimulées pourraient permettre à un attaquant d’obtenir un accès distant à n’importe quel périphérique dans le réseau privé.  Qui plus est, les sections "Webcam", "Configuration d’expert de téléphonie", "Contrôle des accès", "Détection WAN" et "Mise à jour" de l’interface Web du routeur sont "invisibles" et ne peuvent pas être modifiées par le propriétaire du périphérique.  Elles sont accessibles uniquement après l’exploitation d’une vulnérabilité assez générique qui permet de se déplacer entre les sections de l’interface (il s’agit simplement de pages Web qui possèdent chacune une adresse alphanumérique) en identifiant par force brute les numéros en fin d’adresse.  A l’origine, ces fonctions avaient été mises en œuvre pour le confort du propriétaire du périphérique : grâce à la fonction d’accès à distance, le FAI peut dépanner et éliminer rapidement et facilement les problèmes techniques du périphérique.  Toutefois, cette fonction pratique pourrait se transformer en risque pour la sécurité si les commandes tombent entres les mauvaises mains.

Dans le respect de notre politique de divulgation responsable, Kaspersky Lab n’a pas dévoilé les noms des fabricants dont les produits ont été analysés dans le cadre de cette expérience.  Ils ont toutefois été tous prévenus de l’existence de ces vulnérabilités et les experts de Kaspersky Lab ont travaillé en étroite coopération avec ces fabricants afin d’éliminer les vulnérabilités mises en lumière.

Il est important que tout le monde comprenne les risques potentiels associés à l’utilisation de périphériques réseau, aussi bien chez soi qu’au bureau.  Nous devons comprendre également que nos informations ne sont pas sécurisées simplement parce que nos mots de passe sont robustes ou parce que nous utilisons des logiciels de protection contre les codes malveillants.  Il existe de nombreux éléments sur lesquels nous n’avons aucun contrôle et jusqu’à un certain point, le sort de nos informations est entre les mains des éditeurs de logiciels et des fabricants de matériel.   Par exemple, certains périphériques ne possèdent pas de routine de vérification automatique des mises à jour. C’est au consommateur qu’il incombe de télécharger et d’installer le nouveau micrologiciel.  Cette tâche n’est pas toujours aisée.  Pire encore, il n’est pas toujours possible de mettre à jour un périphérique (la majorité des périphériques étudiés dans le cadre de ce projet n’était plus commercialisés depuis plus d’un an).

Vous trouverez des conseils sur la manière de limiter le risque d’attaques dans ce résumé de l’article de David Jacoby.

Sécurité sur Internet et fuite de données : ShellShock

Au mois de septembre, le milieu de la sécurité de l’information est entré en alerte rouge après la découverte de la vulnérabilité ‘Bash’ (connue également sous le nom ‘ShellShock’).  Bash, un interpréteur de commande Unix écrit en 1989, est l’interpréteur par défaut de Linux et Mac OS X.  La faille (CVE-2014-6271) permet à un attaquant d’attacher à distance un fichier malveillant à une variable qui est exécutée à l’invocation de l’interpréteur de commande Bash.  L’impact élevé de cette vulnérabilité associé à la simplicité de son exploitation la rendent très puissante.  Certains n’ont pas hésité à la comparer à la vulnérabilité ‘Heartbleed’.  Toutefois, Bash est bien plus simple à exploiter que Heartbleed et tandis que Heartbleed permettait seulement à l’attaquant de voler des données de la mémoire d’un ordinateur vulnérable, Shellshock peut quant à elle offrir un contrôle complet sur le système.

Il n’aura pas fallu attendre longtemps avant que des attaquants tentent de profiter de la vulnérabilité. Nous avons présenté quelques exemples précoces peu de temps après la découverte.  Dans la majorité des cas, les attaquants ont ciblé à distance des serveurs Web qui hébergeaient des scripts CGI (Common Gateway Interface) écrits dans Bash ou qui transmettent des valeurs aux scripts de l’interpréteur.  Il est toutefois possible que la vulnérabilité ait un impact sur une infrastructure Windows.

Mais le problème ne se limite pas aux serveurs Web.  Bash est largement utilisé dans les micrologiciels de périphériques qui font partie de notre vie de tous les jours.  Il s’agit notamment de routeurs, d’appareils électroménagers et de points d’accès wireless.  Comme nous l’avons vu ci-dessus, l’application de correctifs sur certains de ces périphériques peut être une tâche difficile.

Vous trouverez ici des conseils sur la manière de mettre à jour les systèmes vulnérables.

Statistiques

Toutes les données statistiques citées dans ce rapport ont été obtenues à l’aide du réseau antivirus distribué Kaspersky Security Network (KSN) suite au fonctionnement de divers composants chargés de la protection contre les malwares Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l’utilisation des données. Des millions d’utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays et territoires participent à cet échange global d’informations sur l’activité des malwares.

Chiffres du trimestre

  • D’après les données de KSN, au premier trimestre 2014, les produits de Kaspersky Lab ont bloqué  1 325 106 041 attaques malveillantes menées contre des ordinateurs et des appareils nomades.
  • Les solutions de Kaspersky Lab ont déjoué 367 431 148 attaques organisées depuis divers sites répartis à travers le monde.
  • Notre antivirus Internet a détecté 26 641 747 objets malveillants uniques (scripts, codes d’exploitation, fichiers exécutables, etc.).
  • 107 215 793 URL uniques ayant provoqué un déclenchement de l’antivirus Internet ont été recensées.
  • Un tiers (33 %) de l’ensemble des attaques Internet bloquées par nos produits ont été organisées depuis des ressources malveillantes situées aux Etats-Unis.
  • 116 710 804 objets malveillants ou potentiellement indésirables uniques ont été recensés par notre Antivirus Fichiers.
  • Les solutions de Kaspersky Lab pour la protection des appareils nomades ont détecté les éléments suivants :
    • 461 757 paquets d’installation ;
    • 74 489 nouveaux malwares pour appareils nomades ;
    • 7 010 Trojan-Bankers pour appareils nomades.

Menaces sur les appareils nomades

Au 3e trimestre 2014, les solutions de Kaspersky Lab pour la protection des appareils nomades ont identifié 74 489 nouveaux malwares mobiles, soit une augmentation de 14,4 % par rapport au 2e trimestre.

De son côté, le nombre de paquets d’installation malveillants détectés a diminué.

Nombre de paquets d’installation malveillants et de nouveaux malwares mobiles détectés (T1-T3 2014)

Alors qu’au premier semestre 2014, il y avait en moyenne un peu plus de 11 paquets d’installation malveillants pour chaque malware mobile, ce rapport n’était que de 6,2 au 3e trimestre.

L’utilisation de plusieurs paquets d’installation pour un malware mobile est une pratique caractéristique de la diffusion de Trojan-SMS. Ainsi, les individus malintentionnés peuvent utiliser jusqu’à 70 000 paquets pour une version de Stealer.a. Il est probable que la réduction du nombre de paquets d’installation malveillants est liée au fait que le nombre de ces malwares dans le flux de nouveaux malwares mobiles a diminué (cf. ci-dessous).

Répartition par type de malwares pour appareils nomades

Répartition par type de malwares pour appareils nomades, 2e et 3e trimestre 2014

En tête du classement des objets malveillants détectés au 3e trimestre pour les appareils nomades, nous trouvons la catégorie Risktool dont l’indice a augmenté de 8,6 points de pourcentage pour atteindre 26,5 %. Il s’agit d’applications légitimes qui pourraient présenter un danger pour les utilisateurs. En effet, un utilisation maladroite par l’utilisateur ou une exploitation par un individu malintentionné pourrait provoquer des pertes financières. 

La 2e place revient à la catégorie Adware, celle qui regroupe les logiciels publicitaires potentiellement malveillants (19,4 %). Sa part a diminué de 7,9 points de pourcentage.

Les Trojan-SMS occupent la 3e position. Par rapport au trimestre précédent, leur part sur l’ensemble des menaces pour appareils nomades a également diminué de 7,2 points de pourcentage.

Signalons qu’au 3e trimestre, la part de Trojan-Banker pour appareils nomades a augmenté dans le flux de malwares pour appareils nomades sur fond de réduction du pourcentage de logiciels publicitaires et de Trojan-SMS. Elle est passée de 2,2 à 2,9 %. Cette catégorie de malware occupe la 4e place dans notre classement.

Top 20 des programmes malveillants pour appareils nomades

  Nom % d’attaques*
1 Trojan-SMS.AndroidOS.Stealer.a 15,63%
2 RiskTool.AndroidOS.SMSreg.gc 14,17%
3 AdWare.AndroidOS.Viser.a 10,76%
4 Trojan-SMS.AndroidOS.FakeInst.fb 7,35%
5 RiskTool.AndroidOS.CallPay.a 4,95%
6 Exploit.AndroidOS.Lotoor.be 3,97%
7 DangerousObject.Multi.Generic 3,94%
8 RiskTool.AndroidOS.MimobSMS.a 3,94%
9 Trojan-SMS.AndroidOS.Agent.ao 2,78%
10 AdWare.AndroidOS.Ganlet.a 2,51%
11 Trojan-SMS.AndroidOS.OpFake.a 2,50%
12 RiskTool.AndroidOS.SMSreg.de 2,36%
13 Trojan-SMS.AndroidOS.FakeInst.ff 2,14%
14 Trojan-SMS.AndroidOS.Podec.a 2,05%
15 Trojan-SMS.AndroidOS.Erop.a 1,53%
16 RiskTool.AndroidOS.NeoSMS.a 1,50%
17 Trojan.AndroidOS.Agent.p 1,47%
18 Trojan-SMS.AndroidOS.OpFake.bo 1,29%
19 RiskTool.AndroidOS.SMSreg.hg 1,19%
20 Trojan-Ransom.AndroidOS.Small.e 1,17%

* Pourcentage d’utilisateurs attaqués par ce malware sur l’ensemble des utilisateurs attaqués

Les Trojan-SMS perdent des places dans le Top 20 des menaces détectées : alors qu’ils occupaient 15 positions dans le classement au 2e trimestre, le classement du 3e trimestre ne compte plus que huit représentants de cette catégorie. Au trimestre antérieur, l’indice du leader du classement, Trojan-SMS.AndroidOS.Stealer.a, atteignait 25,42 % de l’ensemble des attaques. Pour le 3e trimestre, ce chiffre n’est que de 15,63 %.

Les représentants de la catégorie RiskTool occupent six positions dans le Top 20. Dont la 2e avec RiskTool.AndroidOS.SMSreg.gc qui représente 14,17 % de toutes les attaques.

DangerousObject.Multi.Generic (3,94 %) occupe la 7e position. La détection de ces nouveaux malwares mobiles s’opère à l’aide des technologies dans le cloud Kaspersky Security Network, qui permettent à notre logiciel de réagir rapidement aux nouvelles menaces inconnues.

Trojan-bankers pour appareils nomades

Nous avons détecté au cours de la période couverte par le rapport 7 010 Trojan-Bankers pour appareils nomades, soit 3,4 fois plus qu’au trimestre antérieur.

Nombre de Trojan-Bankers pour appareils nomades détectés (T1-T3 2014)

Le nombre de pays attaqués continue d’augmenter : alors qu’au 2e trimestre, des attaques de Trojan-Bankers pour appareils nomades avaient été observées dans 31 pays, ce chiffre est passé à 70 au 3ème trimestre.

Géographie des menaces bancaires pour appareils nomades au 3e trimestre 2014 (nombre d’utilisateurs attaqués)

Top 10 des pays attaqués par des chevaux de Troie bancaires :

  Pays % de l’ensemble des attaques*
1 Russie 83,85%
2 États-Unis 7,09%
3 Ukraine 1,79%
4 Biélorussie 1,18%
5 Kazakhstan 0,92%
6 Corée, République de 0,68%
7 Allemagne 0,62%
8 Chine 0,50%
9 Royaume-Uni 0,50%
10 Arabie saoudite 0,35%

* Pourcentage d’utilisateurs attaqués dans le pays par rapport à l’ensemble des utilisateurs attaqués

L’Italie quitte ce Top 10 et elle est remplacée en 10e position par l’Arabie saoudite.

Le leader de ce classement demeure la Russie, même si son indice a enregistré un recul de 7,85 points de pourcentage. Les indices des autres pays du Top 10 n’ont pratiquement pas changé : le criminel qui s’attaque aux appareils mobiles élargit peu à peu ses activités.

Répartition géographique des menaces pour appareils nomades

Au cours du 3ème trimestre, des attaques de malwares pour appareils nomades ont été enregistrées au moins une fois dans 205 pays.

Carte des tentatives d’infection par des malwares pour appareils nomades au 3e trimestre 2014
(pourcentage de l’ensemble des utilisateurs attaqués)

Top 10 des pays attaqués :

  Pays % d’attaques*
1 Russie 44,0%
2 Inde 7,6%
3 Allemagne 5,6%
4 Iran 3,4%
5 Viet Nam 3,1%
6 Kazakhstan 3,1%
7 Ukraine 2,7%
8 Malaisie 1,9%
9 Brésil 1,7%
10 États-Unis 1,7%

* Pourcentage d’utilisateurs attaqués dans le pays par rapport à l’ensemble des utilisateurs attaqués

La Russie demeure le leader de ce classement (44 %) avec une grande longueur d’avance sur les autres pays. L’Inde récupère la 2e position (7,6 %). L’Iran (3,4 %) et les USA (1,7 %) font leur entrée pour la première fois dans ce classement en 2014. La Pologne, la France, l’Espagne et le Mexique ont quitté le Top 10.

Applications vulnérables utilisées par les individus malintentionnés

Le classement des applications vulnérables repris ci-après repose sur les données relatives aux codes d’exploitation bloqués par nos produits et utilisés par des individus malintentionnés dans le cadre d’attaques via Internet ou lors de l’infection d’applications locales, y compris sur les appareils nomades des utilisateurs.

Répartition, par type d’application ciblée, des codes d’exploitation utilisés par les individus malveillants dans les attaques, T3 2014

Sur l’ensemble des tentatives d’exploitation de vulnérabilités que nous avons observées, 47 % visaient des vulnérabilités dans des navigateurs et principalement Internet Explorer. Presque chaque kit d’exploitation qui existe contient un code d’exploitation pour ce navigateur.

La 2e position est occupée par les codes d’exploitation pour Java dont les vulnérabilités sont exploitées lors d’attaque "drive-by" sur Internet. Ces codes malveillants figurent dans une multitude de kits d’exploitation, même s’il est vrai que cela fait déjà un an que nous n’avons plus vu aucune information sur la découverte de nouvelles vulnérabilités dans Java. Au 3e trimestre, la part des codes d’exploitation Java représentait 28 %, soit un peu moins que l’indice du 2e trimestre (29 %).

La 3e position revient aux codes d’exploitation de vulnérabilités dans Adobe Reader (12 %). Ces vulnérabilités sont également exploitées dans des attaques "drive-by" via Internet et des codes d’exploitation pour PDF figurent dans une multitude de kits d’exploitation.

Malwares sur Internet (attaques via Internet)

Les données statistiques présentées dans ce chapitre ont été obtenues via l’antivirus Internet qui protège les utilisateurs au moment de télécharger des objets malveillants depuis une page infectée. Les sites malveillants sont des sites créés spécialement par des individus malintentionnés ; les sites infectés peuvent être des sites dont le contenu est fourni par les internautes (par exemple, des forums) ou des ressources légitimes qui ont été compromises.

Menaces en ligne dans le secteur bancaire

Au 3e trimestre 2014, les solutions de Kaspersky Lab ont déjoué des tentatives d’exécution de malwares conçus pour voler l’argent via les systèmes de banques électroniques sur les ordinateurs de 696 977 utilisateurs. Ce chiffre enregistre une réduction de 24,9 % par rapport à la période précédente couverte par le rapport (927 568).

Nombre d’ordinateurs attaqués par des malwares financiers, T3 2014.

Signalons que le nombre d’attaques a progressivement diminué au cours du trimestre. Alors que nous avions enregistré 244 490 attaques en juillet, le nombre enregistré en septembre était inférieur de 11 % et avait atteint 218 384.

Au total, les solutions de protection de Kaspersky Lab ont enregistré 2 466 952 notifications de tentatives d’infection par des malwares développés pour le vol d’argent via les systèmes de banque électronique.

Répartition géographique des attaques

Répartition géographique des malwares bancaires, 3e trimestre 2014

Top 10 des pays selon le nombre d’utilisateurs attaqués

  Pays Nombre d’utilisateurs attaqués
1 Brésil 90176
2 Russie 57729
3 Allemagne 55225
4 Italie 32529
5 Inde 24975
6 États-Unis 22340
7 Autriche 22013
8 Viet Nam 13495
9 Royaume-Uni 11095
10 Chine 9060

Une fois de plus, le Brésil occupe la tête du classement des pays les plus attaqués, même si son indice a été divisé par 1,5 par rapport au dernier trimestre. La Russie conserve sa 2e position. L’Italie recule à la 4e place de notre classement. L’Allemagne décroche la 3e place : le nombre d’utilisateurs attaqués dans ce pays a augmenté de 50 %.

Top 10 des familles de malwares bancaires

Top 10 des familles de malwares utilisés dans le cadre d’attaques contre les utilisateurs de services de transactions bancaires par Internet au 3e trimestre 2014 (sur la base du nombre de notifications sur les tentatives d’infection et sur la base du nombre d’utilisateurs attaqués) :

Nom Nombre de notifications Nombre d’utilisateurs attaqués
Trojan-Spy.Win32.Zbot 1381762 285559
Trojan-Banker.Win32.ChePro 322928 92415
Trojan-Banker.Win32.Shiotob 123150 24839
Trojan-Banker.Win32.Agent 49563 23943
Trojan-Banker.HTML.PayPal 117692 21138
Trojan-Spy.Win32.SpyEyes 73496 19113
Trojan-Banker.Win32.Lohmys 47188 16619
Trojan-Banker.Win32.Banker 39892 12673
Trojan-Banker.Win32.Banbra 20563 9646
Backdoor.Win32.Sinowal 18921 8189

Le malware bancaire le plus répandu demeure ZeuS (Trojan-Spy.Win32.Zbot), même si le nombre d’attaques utilisant ce malware et le nombre d’utilisateurs attaqués a presque été divisé par deux par rapport au trimestre antérieur.

Au 3e trimestre, la 3e place de ce classement était occupée par le Trojan Trojan-Banker.Win32.Shiotob qui se propage principalement via des messages non sollicités et qui surveille le trafic dans le but d’intercepter les données de paiement. L’écrasante majorité des malwares du Top 10 (9 sur 10) utilisent des techniques d’injection de code HTML arbitraitre dans la page Internet affichée par le navigateur et d’interception des données de paiement saisies par les utilisateurs dans les formulaires en ligne originaux et factices.

Les menaces financières ne se limitent pas aux malwares bancaires qui visent les utilisateurs des systèmes de banque électronique.

Répartition des attaques visant l’argent des utilisateurs, par type de malware au 3e trimestre 2014

La 2e menace la plus répandue est le vol de portefeuilles Bitcoin. La popularité de cette source de revenu auprès des individus malintentionnés est passée de 8 % au 2e trimestre à 15 % au 3e. Il existe une autre menace en rapport avec la cryptodevise, à savoir l’exploitation de Bitcoin (11 %) qui consiste à utiliser la puissance de l’ordinateur de la victime pour générer des bitcoins.

Top 20 des objets détectés sur Internet

Au 3e trimestre 2014, notre antivirus Internet a détecté 26 641 747 objets malveillants uniques (scripts, codes d’exploitation, fichiers exécutables, etc.).

Parmi tous les objets malveillants impliqués dans ces attaques contre les ordinateurs des utilisateurs via Internet, nous avons identifié les 20 objets les plus actifs.  Ils sont responsables de 96,2 % de toutes les attaques sur Internet.

Top 20 des objets détectés sur Internet

  Nom* % de l’ensemble des attaques**
1 Malicious URL 59,83%
2 AdWare.Script.Generic 14,46%
3 Trojan.Script.Generic 13,13%
4 Trojan.Script.Iframer 1,77%
5 AdWare.Win32.Agent.fflm 1,23%
6 Trojan-Downloader.Script.Generic 1,02%
7 AdWare.Win32.Agent.allm 1,02%
8 AdWare.JS.Agent.ao 0,78%
9 AdWare.JS.Agent.an 0,55%
10 AdWare.Win32.Agent.aiyc 0,32%
11 AdWare.Win32.OutBrowse.g 0,32%
12 Trojan.Win32.Generic 0,30%
13 AdWare.Win32.Amonetize.bcw 0,23%
14 AdWare.Win32.Amonetize.cmg 0,18%
15 AdWare.Win32.Yotoon.heur 0,18%
16 Trojan-Downloader.Win32.Generic 0,15%
17 AdWare.Win32.Amonetize.cmd 0,14%
18 Trojan-Dropper.Win32.Agent.lefs 0,12%
19 AdWare.Win32.Linkun.j 0,11%
20 AdWare.Win32.Amonetize.aik 0,09%

*Verdicts détectés du module Antivirus Internet. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l’envoi des statistiques.
**Pourcentage de l’ensemble des attaques via Internet enregistrées sur les ordinateurs d’utilisateurs uniques.

Comme dans les éditions précédentes, le Top 20 contient principalement des verdicts attribués à des objets qui interviennent dans des attaques "drive-by" ou des logiciels publicitaires. 59,8 % de l’ensemble des déclenchements de l’Antivirus Internet impliquaient des liens de la liste noire.

Pays, source d’attaques via Internet : TOP 10

Ces statistiques montrent la répartition par pays des sources des attaques Internet bloquées par l’Antivirus Internet sur les ordinateurs des utilisateurs (pages Internet avec redirection vers des codes d’exploitation, sites avec des codes d’exploitation et autres programmes malveillants, centres d’administration de réseaux de zombies). Signalons que chaque hôte unique peut être la source d’une ou de plusieurs attaques Internet.

Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

Au 3e trimestre 2014, les solutions de Kaspersky Lab ont repoussé 367 431 148 attaques organisées depuis des ressources Internet situées dans différents pays. 87% des notifications relatives aux attaques Internet bloquées ont été obtenues lors du blocage d’attaques depuis des ressources Internet réparties dans une dizaine de pays. Ceci représente une réduction de 1,3 point de pourcentage par rapport au trimestre précédent.

Répartition par pays des sources d’attaques Internet, T3 2014

Le Top 10 des pays a été quelque peu modifié au 3e trimestre. Le Canada (- 7 points de pourcentage) et l’Irlande (-0,7 point de pourcentage) ont quitté le Top 10. La Chine qui ne figurait pas dans ce classement depuis le 2e trimestre 2013 refait son entrée en 7e position avec 1,87 %. La Suisse (1,03 %) figure pour la première fois dans le Top 10.

Les indices qui ont contenu les modifications les plus sensibles sont ceux des Etats-Unis (+11,2 points de pourcentage) qui décrochent la 1re position et de l’Allemagne (-9 points de pourcentage) qui passe de la 1re à la 3e position.

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé combien d’utilisateurs uniques des produits de Kaspersky Lab dans chacun de ces pays ont été confrontés à un déclenchement de l’Antivirus. Les données obtenues indiquent le degré d’agressivité de l’environnement dans lequel les ordinateurs fonctionnent dans les divers pays.

  Pays* % d’utilisateurs uniques**
1 Russie 46,68%
2 Kazakhstan 45,92%
3 Azerbaïdjan 43,50%
4 Arménie 41,64%
5 Ukraine 40,70%
6 Iran 39,91%
7 Viet Nam 38,55%
8 Biélorussie 38,08%
9 Moldavie, République de 36,64%
10 Algérie 36,05%
11 Tadjikistan 36,05%
12 Kirghizstan 33,59%
13 Mongolie 33,59%
14 Qatar 30,84%
15 Ouzbékistan 29,22%
16 Géorgie 29,17%
17 Turquie 28,91%
18 Emirats arabes unis 28,76%
19 Indonésie 28,59%
20 Allemagne 28,36%

Ces statistiques reposent sur les verdicts détectés du module Antivirus Internet transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.

* Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage d’utilisateurs uniques soumis à des attaques via Internet par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

La Croatie, la Tunisie et l’Espagne ont quitté le Top 20 au 3e trimestre 2014. Parmi les nouvelles entrées du classement, citons les Emirats arabes unis (28,76 %), l’Indonésie (28,59 %) et l’Allemagne (28,36 %) qui occupent les trois dernières positions du classement.

Parmi les pays où la navigation sur Internet présente le moins de risques, citons la Suisse (12,4 %), le Danemark (13,2 %), le Japon (13,3 %), la République d’Afrique du sud (16,0 %), la Finlande (16,1 %) et les Pays-Bas (16,6 %).

En moyenne au cours du trimestre, 29,5 % des ordinateurs des Internautes à travers le monde avaient été exposés au moins une fois à une attaque sur Internet.

Menaces locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Ces données concernent les objets qui se sont introduit sur les ordinateurs par d’autres moyens qu’Internet, le courrier  électronique ou les ports réseau.

Ce chapitre est consacré à l’analyse des données statistiques obtenues sur la base du fonctionnement de l’antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu’ils sont sollicités ainsi que les données tirées de l’analyse de divers disques amovibles.

116 710 804 objets malveillants ou potentiellement indésirables uniques ont été recensés par notre Antivirus Fichiers au 3e trimestre 2014.

Top 20 des objets découverts sur les ordinateurs sur les ordinateurs des utilisateurs

  Nom* % d’utilisateurs uniques attaqués**
1 Trojan.Win32.Generic 18,95%
2 DangerousObject.Multi.Generic 18,39%
3 AdWare.MSIL.Kranet.heur 11,61%
4 AdWare.Win32.Agent.ahbx 5,77%
5 Trojan.Win32.AutoRun.gen 4,81%
6 AdWare.Win32.Kranet.heur 4,68%
7 AdWare.NSIS.Zaitu.heur 4,51%
8 Worm.VBS.Dinihou.r 4,51%
9 Virus.Win32.Sality.gen 4,08%
10 AdWare.Win32.Yotoon.abs 4,03%
11 AdWare.Win32.IBryte.dolh 3,14%
12 AdWare.Win32.Agent.aljt 3,12%
13 AdWare.Win32.Agent.allm 3,11%
14 AdWare.Win32.Yotoon.heur 3,10%
15 Adware.Win32.Amonetize.heur 2,86%
16 AdWare.Win32.Agent.heur 2,80%
17 WebToolbar.JS.Condonit.a 2,59%
18 Worm.Win32.Debris.a 2,56%
19 AdWare.Win32.Kranet.c 2,55%
20 Trojan.Script.Generic 2,51%

*Verdicts détectés par les modules OAS et ODS de l’Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
**Pourcentage d’utilisateurs uniques sur les ordinateurs desquels l’Antivirus a détecté l’objet en question, par rapport à l’ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l’Antivirus s’est déclenché.

En général, la majorité de ce classement est composée de logiciels publicitaires. Cette fois-ci, ils occupent 13 positions sur 20.

Les vers qui se propagent sur des supports amovibles occupent la 8e et la 18e position.

Le seul virus qui demeure dans le classement, à savoir Virus.Win32.Sality.gen, se retrouve en 9e position au 3e trimestre.

Signalons que le nombre de détections par l’Antivirus Fichiers de logiciels publicitaires et de leurs composants qui diffusent activement ces programmes et qui luttent contre les détections par les logiciels antivirus a sensiblement augmenté.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

  Pays* % d’utilisateurs uniques**
1 Viet Nam 61,89%
2 Bangladesh 55,01%
3 Mongolie 54,13%
4 Népal 53,08%
5 Algérie 51,71%
6 Cambodge 51,26%
7 Afghanistan 50,59%
8 Laos 50,55%
9 Yémen 50,38%
10 Pakistan 50,35%
11 Égypte 49,65%
12 Inde 49,44%
13 Irak 49,33%
14 Iran 48,85%
15 Éthiopie 47,87%
16 Birmanie 46,71%
17 Sri Lanka 46,67%
18 Syrie 46,24%
19 Qatar 46,03%
20 Tunisie 45,36%

Ces statistiques reposent sur les verdicts détectés des modules OAS et ODS de l’Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques. Nous avons également comptabilisé les programmes malveillants découverts directement sur les ordinateurs des utilisateurs ou sur des lecteurs amovibles (clés USB, carte mémoire d’appareil photo ou de téléphone, disque amovible) connectés aux ordinateurs.

*Pour les calculs, nous avons exclu les pays où le nombre d’utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage d’utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Les pays d’Afrique, du Moyen-Orient et d’Asie du Sud-Est maintiennent leurs positions dans ce classement. A l’instar du trimestre précédent, nous retrouvons le Viet Nam en tête (61,89 %).

La Mongolie (54,13 %) passe en 3e position, ayant cédé sa 2e position au Bangladesh (55,01 %).

Le Quatar (46,03 %) figure pour la première fois dans le Top 20. Le Myanmar (46,71 %) et le Sri Lanka (46,67 %) sont de retour dans le classement.  L’Arabie Saoudite, la Turquie et Djibouti ont disparu du Top 20.

Au cours du 3e trimestre, des menaces locales ont été détectées sur les ordinateurs de 44,4 % des utilisateurs en Russie.

Parmi les pays les plus sûrs en matière d’infection locale, citons : le Japon (15 %), la Suède (16,4 %), le Danemark (16,5 %), la Finlande (18 %) et Singapour (19,7 %).

En moyenne à travers le monde au 3e trimestre, des menaces locales ont été détectées au moins une fois sur 37,2 % des ordinateurs des utilisateurs, soit une augmentation de 4,4 points de pourcentage qu’au 2e trimestre.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *