Géographie de la cybercriminalité. Europe de l’Ouest et Amérique du Nord

L’Internet n’a pas de frontières, mais nos données démontrent cependant que la cybercriminalité peut se caractériser par des éléments géographiques. Les programmes malveillants varient selon les différentes régions, tout comme les cibles prioritaires des attaques et les modes d’enrichissement utilisés par les cybercriminels. Cela est du non seulement à la situation géographique des individus malintentionnés, mais aussi aux particularités des pays dans lesquels vivent les victimes potentielles. A ce sujet, les éléments déterminant sont le niveau de développement économique, le nombre d’internautes et le taux de pénétration d’Internet dans le pays.

Cet article porte sur les caractéristiques de la cybercriminalité dans les pays occidentaux : Etats-Unis, Canada et Europe de l’Ouest (Royaume-Une, Autriche, Belgique, Danemark, France, Allemagne, Hollande, Luxembourg, Irlande, Italie, Espagne, Suisse et Portugal).

Informations contextuelles

  • PIB (à parité de pouvoir d’achat, source : cia.gov) :
    • USA : 14,66 trillions de dollars américains (estimations pour 2010), 2e PIB au monde ;
    • Union européenne : 14,82 trillions de dollars (estimations pour 2010), 1er PIB au monde.
  • Nombre d’Internautes (source : cia.gov) :
    • USA : 245 millions, 2e position ;
    • Allemagne : 65,125 millions, 5e position ;
    • Grande-Bretagne : 51,444 millions, 7e position ;
    • France : 45,262 millions, 8e position ;
    • Italie : 29,235 millions, 13e position.
  • Taux de pénétration d’Internet (source : http://www.internetworldstats.com) :
    • Amérique du Nord : 78,3%, 1ère position ;
    • Europe (taux global) : 58,3 %, 3e position.
  • Particularités de l’utilisation d’Internet :
    • L’Internet est présent partout : institutions académiques, organismes publics, maisons, bureaux ;
    • L’Internet est utilisé en permanence : l’Internet mobile est bon marché, les périphériques mobiles qui permettent d’utiliser Internet sont très répandus (tablettes et smartphones).
    • L’Internet est une plate-forme largement utilisée pour le paiement de services (électricité, eau, etc.), l’achat d’articles ou la gestion de comptes en banque.
  • Pourcentage d’Internautes exposés à des attaques via Internet (1er semestre 2012) :
    • Etats-Unis : 38,8 %, 31e position ;
    • Allemagne : 28,8 %, 101e position ;
    • Grande-Bretagne : 36,8 %, 42e position ;
    • France : 36,3%, 44e position ;
    • Italie : 43,5%, 18e position ;
    • Union européenne : 32,1 %.
  • Le nombre d’utilisateurs de Mac OS X et le nombre de smartphones tournant sous Android OS augmentent de manière constante.
  • Systèmes d’exploitation les plus souvent attaqués :
    • Windows,
    • Android,
    • Mac OS X.

    Près de la moitié des pays d’Europe de l’Ouest figurent dans le Top 20 du nombre d’Internautes et ceux-ci sont très actifs. La majorité d’entre eux considère Internet non seulement comme une source d’informations, mais également comme un moyen de communication très simple à utiliser et comme une des plateformes les plus accessibles pour réaliser des achats et payer des services. De plus, les habitants d’Europe occidentale ont des économies placées sur des comptes en banque et ils utilisent beaucoup les systèmes de gestion de transactions bancaires par Internet ou appareils nomades proposés par les banques.

    Il faut noter également que les ordinateurs dans ces pays sont dotés d’une protection adéquate, ce qui les rend difficilement accessibles aux individus malintentionnés. Les Internautes en Europe occidentale ont développé des habitudes et acquis des connaissances qui permettent dans la majorité des cas de d’éviter l’infection de l’ordinateur. L’installation d’un logiciel antivirus est devenue pour l’utilisateur d’Amérique du Nord ou d’Europe occidentale un geste normal dans l’utilisation d’un ordinateur.

    La rapidité à laquelle les utilisateurs d’Amérique du Nord et d’Europe occidentale adoptent les nouvelles versions des systèmes d’exploitation complique la tâche des cybercriminels qui doivent déjouer ces nouvelles protections. Ainsi, au premier trimestre 2012, plus de la moitié des ordinateurs (62,4 %) dans les pays étudiés tournaient sous Windows 7, mais sur l’ensemble des ordinateurs au monde, cette valeur est de 6 % inférieure.

    Chaque nouvelle version d’un système d’exploitation introduit de nouveaux moyens de protection plus sophistiqués ; les systèmes d’exploitation modernes intègrent des mécanismes capables de résister aux programmes malveillants : DEP, ASLR, possibilité d’installer des pilotes uniquement dotés d’une signature numérique et bien d’autres. Qui plus est, la majorité des systèmes d’exploitation installés est dotée d’une licence, ce qui permet de bénéficier des mises à jour automatiques dont le rôle primordial en matière de sécurité n’est pas à négliger.

    Particularités des programmes malveillants

    Vu la protection dont bénéficient les ordinateurs dans les pays occidentaux, les individus malintentionnés doivent mettre au point des technologies très rusées. Ce qui distingue les programmes malveillants diffusés par les auteurs de virus dans ces régions, c’est leur complexité technologique. Ce sont principalement les utilisateurs d’Europe de l’Ouest et d’Amérique du Nord qui sont exposés aux grandes nouveautés de la cybercriminalité : technologies d’infection et de dissimulation du code malveillant dans le système et mécanismes d’obtention d’argent.

    La cible principale des cybercriminels dans cette région : l’argent des utilisateurs. Et pour atteindre cet objectif, ils utilisent des chevaux de Troie.

    La majorité des chevaux de Troie rencontrés dans les pays occidentaux peut être scindée en quatre groupes.


    Répartition des chevaux de Troie en fonction du type. Europe de l’Ouest et Amérique du Nord, 1er trimestre 2012

    Le premier groupe (le plus important) réunit les chevaux de Troie qui permettent de télécharger d’autres programmes malveillants sur les ordinateurs. La multitude de ces chevaux de Troie s’explique par le fait que les auteurs de virus les modifient régulièrement afin d’éviter la détection par les logiciels antivirus. La livraison ciblée de programmes malveillants a donné naissance à une activité clandestine à part.

    Les programmes du deuxième groupe sont les plus intéressants pour les individus malintentionnés : il s’agit des programmes qui surveillent les actions des utilisateurs et qui volent des données importantes. Parmi ce groupe, les programmes les plus dangereux sont ceux qui ciblent les données d’accès aux services bancaires par Internet tels que Trojan-Banker, Trojan-Spy.Win32.Zbot, Trojan-Spy.Win32.Spyeyes et Backdoor.Win32.Sinowal. Si l’attaque menée par un de ces programmes malveillant réussit, les individus malintentionnés peuvent accéder au compte en banque de la victime et peuvent dépenser l’argent comme bon leur semble.

    Le troisième groupe reprend les chevaux de Troie qui utilisent un prétexte quelconque pour extorquer de l’argent. Il s’agit du faux antivirus et des programmes de blocage.

    Certains chevaux de Troie sont en mesure d’exécuter deux ou trois fonctions simultanément. Par exemple, ils volent les données et téléchargent d’autres programmes malveillants.

    Argent

    Principales sources de revenus Programmes malveillants utilisés (classification de Kaspersky Lab)
    Vol de données financières
    Récupération des données d’accès aux comptes liés à des services financiers : services bancaires par Internet, PayPal, Ebay)
    Trojan-Banker, Trojan-Spy, Backdoor
    Installation et vente de faux antivirus Trojan-FakeAV
    Vol des données d’accès à des services payants, des jeux ou des services en ligne (Steam, WoW, Facebook, Skype, etc.) Trojan-PSW, Trojan-GameThief, Trojan-Spy
    Vol de données personnelles

    Backdoor, Trojan-Spy
    Substitution des résultats de recherche, publicité, augmentation du nombre de clics Trojan-Clicker, Trojan.Win32.DnsChanger, Backdoor
    Extorsion Trojan-Ransom

    Nous allons voir en détails comment les cybercriminels gagnent de l’argent sur le compte des utilisateurs dont les ordinateurs ou les périphériques nomades ont été infectés.

    Vol de données financières

    Les Internautes des Etats-Unis, du Canada et d’Europe occidentale qui ont opté pour les services bancaires par Internet représentent une cible de choix pour les individus malintentionnés. C’est dans ces régions que l’on retrouve les chevaux de Troie les plus connus en matière de collecte des informations à caractère financier :

    • Sinowal (Mebroot), une porte dérobée qui permet de voler des informations financières. Pour se fixer dans le système, ce programme infecte le premier enregistrement d’amorce du disque dur.
    • Zbot (ZeuS), un cheval de Troie universel qui s’en prend aux comptes de nombreuses banques. Les auteurs de virus consacrent beaucoup de temps à son développement sur la base du code source de la deuxième version publié sur Internet.
    • SpyEye, un cheval de Troie universel qui s’en prend aux comptes de nombreuses banques. Il s’agit d’un concurrent de Zbot (ZeuS), mais son code source n’est pas disponible en libre accès.

    Au premier trimestre 2012, les Etats-Unis, le Canada et les pays d’Europe occidentale ont été globalement victimes de 70 % de l’ensemble des attaques de Backdoor.Win32.Sinowal (Mebroot), de 41 % de toutes les attaques de Trojan-Spy.Win32.SpyEye et de près d’un quart des attaques repoussées de Trojan-Spy.Win32.Zbot.

    Outre l’accès aux comptes en banque des utilisateurs, les cybercriminels sont également très friands des comptes d’utilisateur du système de paiement PayPal ou du magasin en ligne Ebay : ces systèmes représentent respectivement 34 et 9 % de toutes les attaques de phishing. Dans ces deux systèmes, les comptes sont associés à des cartes de crédit, ce qui permet aux individus malintentionnés de vider les comptes. De plus, les auteurs d’attaques de phishing cherchent à obtenir également d’autres données personnelles telles que les numéros de sécurité sociale, les dates de naissance ou le code cvv2 des cartes de crédit.

    Les banques et les systèmes de paiement européens et américains sont de plus en plus attentifs à ce problème et proposent différents moyens pour renforcer la protection : autorisation à l’aide de token, mots de passe à utilisation unique, confirmation des transactions à l’aide de codes envoyés par SMS, etc. Ceci étant dit, les individus malintentionnés développent des programmes capables de déjouer ces protections. Prenons par exemple le cas de la famille de programmes malveillants Zitmo qui attaquent les téléphones portables des utilisateurs et qui sont capables de déjouer les systèmes d’autorisation à deux facteurs adoptés par les banques européennes. Ces programmes malveillants pour appareils nomades travaillent de concert avec le cheval de Troie pour ordinateur Zbot (ZeuS) : Zbot vole sur l’ordinateur infecté le nom d’utilisateur et le mot de passe d’accès aux services bancaires par Internet. Ensuite, lors du transfert de l’argent, son confrère mobile Zitmo entre en piste : il transmet les codes d’autorisation des transactions (TAN) aux individus malintentionnés.

    Les données officielles permettent de se faire une idée de l’ampleur des sommes obtenues par les individus malintentionnés suite au vol d’informations financières. Des escrocs, arrêtés en 2010, avaient pu retirer, sur une période de trois mois, grâce à Trojan-Spy.Win32.Zbot quelques 9 millions de dollars sur plus de 600 comptes. Ce montant n’est que la somme qui a pu être confirmée par des preuves. Il faut ajouter à cela la contribution de plusieurs autres groupes, si bien qu’au total, les revenus obtenus par les individus malintentionnés au cour de cette période sont dix fois supérieurs à la somme citée.

    Vol de données personnelles

    Le vol des données personnelles des utilisateurs est une des activités principales des cybercriminels en Amérique du Nord et en Europe occidentale. Les forums de pirates informatiques publient des messages qui proposent à la vente des bases de données de clients de magasins et de services les plus divers. L’offre est très importante, ce qui signifie que les prix sont assez bas : il faut compter quelques centimes pour les données d’une personne (dans le cas d’une vente en gros). Nous tenons à signaler que dans la majorité des cas, les données de milliers d’utilisateurs de divers services sont ainsi dérobées à cause de vulnérabilités et d’erreurs dans la configuration des serveurs et des bases de données.

    Les vulnérabilités les plus répandues qui entraînent des fuites d’informations sont les injections SQL, les erreurs qui donnent un accès directs aux objets sur le serveur Web et les erreurs dans les systèmes d’authentification. Outre les vulnérabilités, les individus malintentionnés exploitent dans de nombreux cas des erreurs dans la configuration d’applications Web comme les comptes non supprimés créés par défaut, l’accès public aux répertoires sur le serveur, la conservation sous forme non cryptée des mots de passe et des informations sensibles, des fichiers robots.txt mal remplis, etc.

    L’application la plus évidente de ces données est la personnalisation des attaques contre les utilisateurs. De tels attaques ont plus de chance de réussir : les diffusions de messages malveillants ou de phishing visant les comptes d’une banque en particulier seront efficaces uniquement si les messages sont remis à des clients de cette banque.

    De plus, ces données personnelles sont nécessaires pour accéder aux divers services financiers et c’est pourquoi elles sont très recherchées par les individus malintentionnés qui se spécialisent dans les attaques contre les services bancaires par Internet et le carding.

    Diffusion de faux antivirus

    L’interface de presque tous les faux antivirus est en anglais et leur cible reste avant tout les utilisateurs dans les pays occidentaux. Tout le business des faux antivirus repose sur le fait que les utilisateurs veulent protéger leur ordinateur et qu’ils sont prêts à payer des sommes assez importantes pour la protection de ceux-ci.

    Les faux antivirus sont diffusés via des partenariats cybercriminels (le patnerka).


    Dynamique de la détection des faux logiciels antivirus aux Etats-Unis, au Canada et en Europe de l’Ouest 2011 -2012

    C’est au début de l’année 2011 que les faux antivirus ont commencé à être très diffusés en Europe et en Amérique. On a même observé en mars de faux antivirus pour Mac OS X qui étaient diffusés également via des partenariats.

    Le pic des attaques de faux antivirus a été atteint en juin 2011 (Kaspersky Lab avait détecté à l’époque plus de 900 000 faux antivirus), puis le volume de ces programmes malveillants a commencé à diminuer pour se stabiliser au niveau du début de l’année. Cela coïncidait avec l’arrestation de Pavel Vrublevsky. A la même époque, les autorités judiciaires avaient arrêté les membres de deux organisations criminelles qui diffusaient des faux antivirus. Ensuite, les moteurs de recherche ont commencé à supprimer de manière plus efficace les liens malveillants dans les résultats des recherches.

    Bien que la période allant de décembre 2011 à janvier 2012 fût marquée par un sursaut dans le nombre d’attaques de faux antivirus, le niveau retrouva par la suite les valeurs antérieures.

    A l’heure actuelle, les faux antivirus ne sont plus une source de revenus exceptionnels pour les escrocs, mais ils offrent toujours un revenu stable, ce qui convient parfaitement à de nombreux « partenaires ». Pour avoir une idée des revenus qui peuvent être tirés de cette activité, il suffit de se tourner vers le groupe de cybercriminels arrêtés en Lettonie en juin 2011. Ce groupe s’était spécialisé dans les faux antivirus et selon les estimations de la police, il avait réussi en trois ans d’activité à tromper près de 960 000 utilisateurs et provoqué des pertes atteignant 72 millions de dollars.

    Substitution des résultats des recherches

    Le modèle qui vise à gagner de l’argent en substituant les résultats des recherches ou la publicité dans les moteurs de recherche repose également sur les utilisateurs dans les pays occidentaux. Quand l’utilisateur lance une recherche dans un moteur très utilisé, les liens qui apparaissent dans le haut des résultats ne sont pas les vrais résultats de la recherche, mais bien des liens tirés d’un réseau publicitaire. Les publicitaires sont payés pour les clics sur ces liens et les cybercriminels qui ont remplacé les résultats par des publicités sont rémunérés pour chaque clic.


    Exemple d’annonce sur un site de pirates pour la substitution des résultats de recherches pour des utilisateurs aux Etats-Unis, au Canada, en Grande-Bretagne et en Australie

    La technique employée repose sur des chevaux de Troie qui modifient les paramètres des serveurs DNS et des fichiers hosts de telle sorte que toutes les requêtes des utilisateurs dans les moteurs de recherche transitent par les serveurs des individus malintentionnés. La substitution du résultat de la requête a lieu sur le serveur et la page du moteur de recherche affiche les liens qui intéressent les individus malintentionnés.

    Ainsi, le cheval de Troie Trojan-Downloader.OSX.Flashfake, détecté à la fin de l’année 2011, infectait les ordinateurs tournant sous Mac OS X et substituait les résultats des moteurs de recherche. Plus de 700 000 ordinateurs réunis dans un botnet ont été recensés, soit près d’un pour cent des utilisateurs de Mac OS X. 84 % des ordinateurs infectés se trouvaient en Europe de l’Ouest et en Amérique du Nord.


    Trojan-Downloader.OSX.Flashfake TOP 10 des pays d’où provenaient les requêtes du programme malveillant adressées au centre de commande

    Un autre exemple de cette fonction serait Backdoor.Win32.ZAccess (ZeroAccess) dont la majorité des infections a été détectée aux Etats-Unis (27,7 %) et en Allemagne (11 %).


    Répartition du cheval de Troie Backdoor.Win32.ZAccess, juillet 2012

    Le ministère de la Justice des Etats-Unis a accusé un groupe de cybercriminels d’escroquerie par le biais de la substitution des résultats de recherche. Les informations officielles en possession des autorités judiciaires indiquent qu’en 5 ans d’activités illégales à l’aide du programme malveillant Trojan.Win32.DnsChanger, les individus malintentionnés ont pu obtenir près de 14 millions de dollars.

    Escroquerie dissimulée

    Des programmes tels que les chevaux de Troie de chantage qui, jusqu’il y a peu, étaient pratiquement inconnus au-delà des frontières de la CEI, ont récemment fait leur apparition dans les pays occidentaux. Leur principe de fonctionnement est assez simple : après avoir infecté l’ordinateur, ces programmes en bloquent l’accès à l’aide de modifications des paramètres système ou en ouvrant leur fenêtre au-dessus de toutes les autres.

    Dans la CEI, on retrouve principalement deux types de programmes de cette catégorie : les bloqueurs pornographiques qui imposent le paiement d’une somme afin de pouvoir fermer la fenêtre au contenu pornographique qui empêche l’utilisation de l’ordinateur ou les programmes qui bloquent le chargement du système d’exploitation sous prétexte de l’utilisation d’une application sans licence.

    Il est peu probable que les utilisateurs européens se laissent prendre au piège. Le citoyen respectueux des lois confrontés à du chantage va contacter la police et il est plus que probable qu’il possède une licence pour l’application qu’il utilise. C’est la raison pour laquelle les individus malintentionnés ont développé une autre astuce : ils bloquent l’ordinateur et exigent, au nom de la police, le paiement d’une amende pour la visite de sites de pédopornographie ou présentant des scènes de violence contre des enfants.


    Exemple de fenêtre ouverte par un cheval de Troie de chantage qui cible des utilisateurs au Royaume-Uni

    Actuellement, nous connaissons plusieurs versions de ces chevaux de Troie qui utilisent le nom et les insignes de la police en Allemagne, en France, en Angleterre, en Suisse, aux Pays-Bas, en Finlande et en Espagne. Malheureusement, l’identification du destinataire de l’argent demeure très compliquée car les transferts sont réalisés via des systèmes comme Ukash, Epay et PayPoint et il n’est pas toujours possible de suivre les transactions. Notons que pour la première fois dans ce genre d’escroquerie, le système Ukash a été utilisé pour recevoir l’argent des victimes du cheval de Troie de cryptage GpCode créé sur le territoire de l’ex-URSS.

    Particularités de la répartition des programmes malveillants

    Avant de pouvoir exécuter un programme malveillant, l’individu malintentionné doit trouver un moyen de l’introduire sur l’ordinateur de la victime. A travers le monde entier, les principaux canaux de diffusion du code malveillant sont Internet et les supports de données amovibles. Comme le montrent les études que nous avons réalisées, les programmes introduits via les supports de données amovibles ou les virus traditionnels qui infectent les fichiers ne sont pas du tout efficaces dans les régions décrites. Les logiciels antivirus installés sur la majorité des ordinateurs ne permettent tout simplement pas aux vers et aux virus d’infecter un nombre suffisants d’ordinateurs afin d’amorcer un processus d’infection autonome et très vite, la propagation s’arrête.

    Le diagramme ci-après illustre les modes d’infection des programmes malveillants sur les ordinateurs des utilisateurs dans les pays occidentaux.


    Vecteurs d’attaque en Europe de l’Ouest et en Amérique du Nord*, 1er trimestre 2012

    *Pourcentage d’utilisateurs de Kaspersky Lab attaqués via le canal défini par rapport à l’ensemble des utilisateurs de Kaspersky Lab attaqués dans la région.

    Pour mener des attaques contre les utilisateurs en Europe et en Amérique, Internet demeure la méthode la plus efficace. Selon nos données, 80 % de l’ensemble des ordinateurs attaqués au cours du premier semestre 2012 ont été exposés à un risque d’infection pendant la navigation sur Internet.

    Les deux premières places du classement reviennent à l’Italie et à l’Espagne qui appartiennent au groupe à risque élevé pendant la navigation sur Internet (pays où le nombre d’utilisateurs attaqués est supérieur à 40 %).


    Risque d’infection via Internet*
    1er semestre 2012 par pays d’Europe de l’Ouest et d’Amérique du Nord

    *Pourcentage d’utilisateurs uniques soumis à des attaques via Internet par rapport à l’ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

    Tous les autres pays, à l’exception du Danemark, appartiennent à un groupe où le nombre d’utilisateurs attaqués est compris entre 21 et 40 %. En Suisse, en Allemagne, en Autriche et au Luxembourg, le pourcentage d’utilisateurs attaqués ne dépasse pas 30 %. Le Danemark, qui ferme la liste, figure parmi les pays les plus sûrs en matière de navigation sur Internet avec un indice inférieur à 20 %.

    Afin de parvenir à infecter les ordinateurs des internautes pendant la navigation, les individus malintentionnés utilisent diverses astuces :

    • Infection de sites légitimes
    • Référencement Black Hat
    • Messages non sollicités malveillants sur les réseaux sociaux et Twitter

    Infection des sites Internet légitimes

    L’infection de sites légitimes est la méthode la plus dangereuse pour les utilisateurs et la plus efficace pour les individus malintentionnés. Les individus malintentionnés obtiennent d’une manière ou d’une autre l’accès à un site très fréquenté et introduisent de légères modifications dans le code de ce dernier. Lorsque le navigateur de l’Internaute lit tous les liens repris dans le code de la page et charge leur contenu, la ligne contenant le code malveillant redirige le navigateur vers un site préparé qui héberge un code d’exploitation, à savoir un programme malveillant qui exploite une vulnérabilité dans une application légitime afin de pouvoir s’introduire dans l’ordinateur. L’utilisateur ne remarque rien : le site légitime présente toujours le même aspect et fonctionne normalement.

    Ce genre d’attaque repose en général sur l’utilisation de groupes de codes d’exploitation qui commencent par rechercher les programmes vulnérables sur l’ordinateur, puis qui envoient le code d’exploitation requis. Pour garantir le succès de l’opération, les cybercriminels doivent trouver sur l’ordinateur ne serait-ce qu’une seule application souvent utilisée et non mise à jour.

    Les codes d’exploitation populaires ne cessent de changer : à la fin de l’année 2011, les pirates avaient délaissé Adobe Acrobat Reader et FlashPlayer pour Java, visé par 4 des 5 codes d’exploitation les plus souvent utilisés et au cours du premier trimestre 2012, les codes d’exploitation pour les logiciels d’Adobe étaient redevenus les chouchous des pirates.

    Top 5 des codes d’exploitation qui visent les utilisateurs en Europe de l’Ouest et en Amérique du Nord

    2e semestre 2011

      Nom du code d’exploitation Pourcentage d’utilisateurs attaqués Application vulnérable
    1 Exploit.Java.CVE-2010-4452.a 20.6% Oracle Java (JRE)
    2 Exploit.JS.CVE-2010-4452.l 3.4% Oracle Java (JRE)
    3 Exploit.JS.Pdfka.exr 3.0% Adobe PDF Reader
    4 Exploit.JS.CVE-2010-4452.t 2.9% Oracle Java (JRE)
    5 Exploit.Java.CVE-2010-0840.d 2.6% Oracle Java (JRE)

    1er semestre 2012

      Nom du code d’exploitation Pourcentage d’utilisateurs attaqués Application vulnérable
    1 Exploit.JS.Pdfka.fhh 20.1% Adobe PDF Reader
    2 Exploit.SWF.CVE-2011-0611.bt 10.8% Adobe Flash Player
    3 Exploit.Java.CVE-2011-3544.ct 6.9% Oracle Java (JRE)
    4 Exploit.JS.Agent.blb 5.6% Oracle Java (JRE)
    5 Exploit.JS.Pdfka.fhp 4.7% Adobe PDF Reader

    Référencement Black Hat

    La deuxième astuce très répandue est le référencement Black Hat. Grâce à l’application de cette technologie, des sites contenant le contenu malveillant créés spécialement à cet effet, apparaissent en tête des résultats des recherches.

    Les employés des sociétés qui développent les moteurs de recherche veillent à ce que les résultats soient pertinents. Par conséquent, parvenir à placer un site malveillant en tête des résultats de recherche pour des requêtes saisies tous les jours est une tâche ardue qui n’est certainement pas très rentable. Les individus malintentionnés ont trouvé une méthode plus efficace : ils référencent leurs sites pour les requêtes relatives à des sujets d’actualité, autrement dit pour des sujets qui feront l’objet de nombreuses recherches pendant un bref laps de temps (par exemple, décès d’une célébrité ou nom d’un film qui fait beaucoup parler de lui) et les employés des sociétés qui développent les moteurs de recherche n’ont pas le temps de réaliser les vérifications requises en raison de la cohérence des résultats.

    Courrier indésirable

    Le courrier indésirable sur les réseaux sociaux et Twitter est une méthode très prisée par les individus malintentionnés pour diffuser les liens vers des sites malveillants. Ce genre de messages non sollicités repose souvent également sur des sujets d’actualité.

    Il y a peu, les cybercriminels qui visaient les utilisateurs dans les pays occidentaux ont redécouvert le recours aux messages non sollicités dans le courrier électronique pour livrer des « chargements » dangereux. Dans les pays occidentaux, le courrier électronique sert principalement à confirmer les inscriptions à divers services ou à communiquer avec des banques, des fonds de pension, des magasins, des administrations, etc. C’est la raison pour laquelle les individus malintentionnés dissimulent les messages malveillants sous les traits de messages émanant de ces institutions ou organismes. Au premier semestre 2012, le pourcentage mensuel moyen de messages malveillants sur l’ensemble des messages électronique était compris entre 2,8 et 4,3 %, ce qui est sensiblement supérieur aux moyennes des trois dernières années.

    D’après nos statistiques, au premier semestre 2012, la part du courrier électronique dans l’ensemble des sources d’infection représentait 2,5 %. Ce pourcentage tient compte uniquement des messages contenant des pièces jointes et des scripts malveillants (les messages contenant des liens dangereux sont comptabilisés dans les attaques par Internet) et ne reprend pas les messages reçus dans les clients de messagerie en ligne.

    Infrastructure des individus malintentionnés

    La cybercriminalité ne peut exister sans une infrastructure moderne : serveurs d’administration, plateformes de diffusion des programmes malveillants, serveurs proxy, réseaux de zombies. L’ensemble de ces éléments possède également des caractéristiques géographiques.

    Hébergement de code malveillant

    Les pays d’Europe de l’Ouest, les Etats-Unis et le Canada possèdent tous un cadre légal robuste pour lutter contre le contenu malveillant. Il est donc paradoxal de voir qu’au premier semestre 2012, 69 % de l’ensemble des hébergements de code malveillant étaient enregistrés dans ces pays : cela veut dire que plus de la moitié des programmes malveillants sur Internet sont diffusés depuis des serveurs qui se trouvent dans ces régions.


    Répartition des hébergements de code malveillant par pays en 2010 – premier semestre 2012

    Ce chiffre peut s’expliquer. Tout d’abord, c’est dans les pays occidentaux que l’on retrouve l’écrasante majorité des centres de données qui proposent des services d’hébergement à l’épreuve des balles. De nombreux projets choisissent ce type de plateforme d’hébergement. Les cybercriminels pénètrent dans ces serveurs et obtiennent un hébergement de qualité. L’autre avantage lié à l’utilisation de ces serveurs est que lors de l’attaque, l’ordinateur de l’utilisateur est infecté depuis un site légitime, ce qui complique énormément la protection.

    Ensuite, il est extrêmement compliqué de distinguer un serveur détourné par des cybercriminels et un fournisseur normal. C’est la raison pour laquelle les pirates utilisent sans difficulté particulière les services de fournisseurs légaux. Bien que les services d’hébergement dans les pays occidentaux coûtent cher, l’argent que les cybercriminels gagnent leur permet de choisir des plateformes d’hébergement de qualité.

    Zones de noms de domaine

    Afin de pouvoir diffuser les programmes malveillants, les individus malintentionnés ont non seulement besoin de serveurs physiques, mais également de noms de domaine pour les sites. Ils préfèrent tout particulièrement les noms dans les domaines net, com, info et org. Ces zones sont à l’origine de 44,5 % des attaques déjouées depuis des sites malveillants contre des utilisateurs en Amérique du Nord et en Europe de l’Ouest.

    Mais il existe également de nombreuses zones de noms domaines nationaux qui sont très utilisées par les cybercriminels.


    Top 15 des zones de noms de domaine nationaux où se trouvent les sites malveillants, sources d’attaque contre des utilisateurs en Amérique du Nord et en Europe de l’Ouest

    Les utilisateurs aux Etats-Unis, au Canada et en Europe de l’Ouest sont redirigés vers des sites dans les zones .in (Inde), .ru (Russie) ou co.cc (îles Cocos). D’ailleurs, la zone co.cc dans laquelle il est possible d’enregistrer des noms gratuitement est tellement polluée que Google a décidé en 2011 de ne plus indexer les sites qui y sont enregistrés. Ceci étant dit, les domaines gratuits intéressent de toute manière les individus malintentionnés.

    En quatrième et cinquième position, nous retrouvons des sites dans les zones .com.es (Espagne) et .it (Italie). La zone .me (Montenegro) ressemble à la traduction anglaise du pronom personnel « moi » et c’est pourquoi elle contient de nombreux sites anglophones tels que love.me. La zone de domaines italiens (it) connaît une situation similaire : de nombreuses sociétés intègrent le pronom anglais « it » dans le nom du site (par exemple, do.it, get.it, etc.) Ces sites, compromis ou créés par les individus malintentionnés dans cette zone de noms de domaine, visent aussi bien les utilisateurs anglophones que les utilisateurs locaux.

    Les zones de noms de domaine de l’Union européenne (.eu), de l’Allemagne (.de) et des Etats-Unis (.us) referment le Top 10 des zones de nom de domaines nationaux les plus utilisées par les individus malintentionnés dans le cadre d’attaques contre les utilisateurs en Europe de l’Ouest et en Amérique du Nord.

    Réseau de zombies

    L’autre élément important dans l’infrastructure cybercriminelle dans cette région, ce sont les réseaux de zombies utilisés dans le cadre de partenariats.

    Un partenariat est un programme adopté par les cybercriminels qui met en place une répartition marquée des tâches : il y a les développeurs de programmes malveillants et les commanditaires prêts à payer pour la diffusion de ces programmes, il y a les exécuteurs qui se chargent de la diffusion des programmes malveillants en échange d’un paiement et il y a les organisateurs des partenariats qui mettent en place la plateforme d’interaction entre tous les groupes cités.

    De nombreux réseaux de zombies constituent une gigantesque plateforme d’installation pour d’autres programmes malveillants. Des bots sont développés spécialement pour télécharger d’autres programmes malveillants, sur commande de leurs clients, sur les ordinateurs qu’ils ont infectés. Ils peuvent masquer la présence des programmes chargés dans le système et adoptent diverses « astuces ». A titre d’exemple, prenons le célèbre TDSS capable d’introduire sur les ordinateurs infectés des programmes malveillants de type banker, des modificateurs de DNS et de faux antivirus. En 2011, 41,5 % des ordinateurs infectés par TDSS se trouvaient en Amérique du Nord et en Europe occidentale.

    Le commanditaire peut choisir les pays dans lesquels il souhaite diffuser le programme malveillant. En première place en fonction du coût (et évidemment, en fonction de la valeur pour les cybercriminels), nous retrouvons l’installation en Europe et aux Etats-Unis où il faut payer entre 100 et 150 dollars pour infecter 1 000 ordinateurs. A titre de comparaison, l’infection d’ordinateurs en Asie coûte dix (!) fois moins chère.

    Conclusion

    La majorité des pays d’Amérique du Nord et d’Europe de l’Ouest occupe le haut des classements de taux de pénétration d’Internet. Presque tous les habitants de ces pays possèdent des comptes en banque et ils utilisent régulièrement les cartes de crédit associées à ces comptes pour payer des biens ou des services en ligne.

    Les cybercriminels tirent de l’argent des utilisateurs dans ces régions en dérobant les informations financières, en escroquant les utilisateurs et en extorquant de l’argent. Cette région abrite de nombreux ordinateurs infectés par des bots qui recueillent des données financières, diffusent de faux antivirus et substituent le trafic des utilisateurs. Les chiffres le confirment : plus de 70 % des attaques des bots Sinowal, plus de 40 % des attaques des bots SpyEyes qui récoltent des informations financières, et 67 % des détections de faux antivirus au premier semestre 2012 ont touché des utilisateurs de cette région.

    Et si l’on se penche sur l’infrastructure des individus malintentionnés, on voit clairement que les réseaux de zombies qui réalisent le travail de base comme la diffusion des messages non sollicités, les attaques de déni de service ou la dissimulation des sites des individus malintentionnés ne sont pas si nombreux ici. (Notre prochain article sera consacré à l’emplacement géographique de la majorité des ordinateurs utilisés dans ces tâches).

    L’adoption de nouvelles versions de systèmes d’exploitation est plus rapide dans ces pays que dans d’autres régions et nombreux sont les ordinateurs qui sont dotés de logiciels antivirus. De plus, les autorités judiciaires mènent une lutte active contre la cybercriminalité. Toutefois, la dimension plus complexe, par rapport à d’autres pays, de l’introduction de programmes malveillants sur les ordinateurs n’arrête pas les cybercriminels qui développent et déploient des technologies plus subtiles. Les chevaux de Troie les plus complexes rencontrés aujourd’hui (sans tenir compte bien entendu des programmes développés par les services secrets) sont actifs précisément dans cette région. Les utilisateurs de Mac OS X n’ont malheureusement pas été épargnés : lors de l’épidémie du cheval de Troie pour Mac FlashFake, plus de 80 % des infections ont touché des ordinateurs aux Etats-Unis, au Canada et dans des pays d’Europe occidentale.
    Dans ces régions, les individus malintentionnés utilisent des sites compromis et des hébergements à l’épreuve des balles afin de mettre en place les serveurs de commande et la diffusion des programmes malveillants. Près de 70 % des tentatives de chargement de programmes malveillants impliquent des serveurs qui se trouvent dans des pays occidentaux.

    Notre étude a démontré que dans les pays occidentaux, Internet est le principal vecteur d’attaques choisi par les individus malintentionnés. 80 % des attaques enregistrées dans la région ont été organisées via Internet. A l’issue du premier semestre, plus de 40 % des ordinateurs d’utilisateurs en Italie et en Espagne avaient été exposés à un risque d’infection pendant la navigation, contre 37 % au Royaume-Uni, 36 % en France et 29 % en Allemagne. La situation est semblable de l’autre côté de l’Atlantique : aux Etats-Unis, 39 % des utilisateurs qui participent au KSN ont été exposés au moins une fois à une attaque via Internet. Ils étaient 37 % au Canada.

    Si la crise économique prévue se maintient, alors il faudra tenir compte de son influence sur la cybercriminalité dans les pays étudiés. Elle pourrait entraîner une augmentation du nombre d’ordinateurs attaqués, alors que leur protection serait réduite car les utilisateurs réaliseront des économies en évitant de mettre à jour les ordinateurs ou d’acheter de nouvelles versions des applications.

    Dans un avenir proche, la hausse de popularité des services bancaires en ligne chez les utilisateurs de smartphones et de tablettes associée au fait que la majorité des appareils nomades ne sont pas dotés d’un logiciel antivirus feront que les individus malintentionnés vont concentrer leurs attaques sur les services de transactions bancaires sur appareils nomades. Et il est évident que la cible la plus probable de ces attaques sera les appareils tournant sous Android.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *