Kaspersky Lab: Antivirus Software and Free Online Virus Scan
Free Virus Scan|Free Trials|Site Map

HomeMenaces Salle de PresseBulletin de sécurité de Kaspersky Lab sur la cyber-sécurité en 2007
Menaces

Bulletin de sécurité de Kaspersky Lab sur la cyber-sécurité en 2007

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc.), annonce la publication sur le site d'informations et d'analyses Viruslist.com de son rapport annuel "Bulletin de sécurité de Kaspersky Lab sur la cyber-sécurité en 2007" préparé par les experts de la société.

Ce rapport se penche sur les modifications les plus notables au niveau de la dynamique du développement des programmes malveillants. La rédaction de ce rapport repose sur l'utilisation d'une méthodologie statistique très récente qui diffère de celle appliquée jusqu'à présent par les experts de la société. Le rapport s'adresse aussi bien aux professionnels de la sécurité des systèmes informatiques qu'aux utilisateurs qui s'intéressent à la problématique des virus.

2007 passera dans l'Histoire comme l'année de la fin des programmes malveillants "non commerciaux". Cette année a été marquée par l'absence d'épidémies notables ou de diffusion d'un programme malveillant qui ne poursuivait pas un objectif financier. La majorité des épidémies enregistrées en 2007 furent de courte durée et elles n'ont jamais touché l'ensemble d'Internet mais uniquement des régions ou des pays particuliers. Ce principe d'organisation des épidémies est devenu la norme de facto.

Parmi les nouveaux programmes malveillants apparus en 2007, le ver de la tempête (Zhelatin selon le classement de Kaspersky Lab), qui se manifesta pour la première fois en janvier 2007, occupe une place à part. Il a manifesté tout au long de l'année une telle gamme de comportements les plus divers, de méthodes de diffusion que les experts de la lutte contre les virus n'ont pu que constater avec effroi l'apparition de cette nouvelle création d'auteurs inconnus.

Zhelatin intégrait la quasi-totalité des réalisations de ces dernières années en matière de création de virus. On y retrouve les technologies de dissimulation d'activité, la pollution du code, les réseaux de zombies protégés contre l'analyse et l'interaction entre les ordinateurs infectés via les réseaux P2P en l'absence d'un centre d'administration unique. Ce ver se propageait selon toutes les méthodes possibles, des plus traditionnelles telles que le courrier électronique ou les messageries instantanées aux plus contemporaines, rendues possibles par l'avènement du Web 2.0, telles que l'utilisation de réseaux sociaux sous la forme de blogs, de forums et de fils RSS.

Les attaques par déni de service sont devenues un des sujets clés de la sécurité informatique en 2007. Après une période d'activité certaine en 2002-2003, les attaques par déni de service n'ont plus été particulièrement prisées par les cybercriminels, du moins jusqu'en 2007. Elles sont réapparues cette année, mais non plus uniquement comme outil d'extorsion de fonds, mais surtout comme élément dans l'arsenal des luttes politiques et concurrentielles. L'attaque lancée contre l'Estonie en 2007 a fait couler beaucoup d'encre dans les journaux et de nombreux experts estiment qu'il s'agissait là du premier cas de guerre cybernétique. Un bon nombre des attaques par déni de service en 2007 ont été commanditées par les concurrents commerciaux des victimes. Alors qu'il y a quatre ans, les attaques par déni de service étaient utilisées exclusivement par des pirates informatiques doublés d'escrocs ou par des voyous, elles sont devenues entre-temps un service au même titre que la diffusion de courrier indésirable ou la réalisation sur commande d'un programme malveillant.

L'activité économique des cybercriminels a accouché de quelques nouvelles pratiques en 2007. La création de programmes malveillants sur demande avec assistance technique s'est fortement développée. L'exemple le plus parlant de ce genre d'activité est lié à l'histoire de Pinch, le cheval de Troie espion. En l'espace de quelques années ses auteurs ont créé plus de 4 000 versions de ce cheval de Troie sur commande. Il semblerait que cette histoire se soit achevée en 2007 lorsque N. Patrushev, le directeur des Services fédéraux de sécurité (FSB) de Russie annonça l'arrestation des auteurs de Pinch.

Si l’on s'en tient à l'indicateur quantitatif pour l'année 2007, alors nous pouvons dire que les chevaux de Troie de jeux, développés pour voler les données des comptes d'accès à des jeux en ligne, ont remporté une victoire éclatante : leur nombre est bien supérieur à celui des Bankers, les chevaux de Troie axé sur le vol des données des comptes d'accès aux banques en ligne.

Les incursions massives dans des sites afin d'y mettre des programmes malveillants ou des liens vers des sites infectés figurent parmi les événements marquants de 2007. C'est ainsi qu'au mois de juin, près de 10 000 sites italiens furent compromis avant d'accueillir la sélection de codes d'exploitation Mpack. L'incident italien et Mpack ont attiré l'attention sur un autre secteur d'activité des cybercriminels : l'enquête indiqua que les programmes malveillants étaient situés sur des sites hébergés par Russian Business Network (RBN). Il s'agissait en fait d'un cas de fournisseur d'hébergement "blindé" qui garantissait à ses clients l'anonymat, la protection contre les poursuites juridiques et l'absence de fichiers de journal. La presse du monde entier a fait tellement de bruit auteur de RBN que la société a dissous son activité entre divers hébergeurs dans plusieurs pays, ce qui lui permet de dissimuler l'ampleur réelle de son activité.

Ce furent là les principaux événements de 2007, une année qui aura été la plus marquée par les virus dans l'Histoire. Le nombre total de menaces a plus que doublé en un an. En 2007, nous avons ajouté à nos bases antivirus presqu'autant de programmes qu'au cours des 15 dernières années ! Nous n'avions encore jamais été témoins d'une telle avalanche de menaces et nous avons dû déployer tous nos efforts au cours de l'année, et parfois faire l'impossible, afin de ne pas nous laisser submerger. Ceci est vraiment inquiétant car si la situation se répète en 2008 (ce que tout semble indiquer), nous devrons faire face d'ici un an à un nouveau doublement du nombre de menaces.

Pronostic

1. Malware 2.0

L'évolution des programmes malveillants depuis les programmes uniques jusqu'aux projets complexes interconnectés a débuté il y a quatre ans avec l'apparition des composants modulaires utilisés dans le ver Bagle. Ce nouveau modèle de fonctionnement des programmes malveillants, qui a démontré toute son efficacité en 2007 avec le ver de la tempête, va devenir non seulement la norme pour une multitude de nouveaux projets malveillants mais il va également poursuivre son développement.

Ses principales caractéristiques sont les suivantes :

  • Absence d'un centre unique d'administration du réseau d'ordinateurs infectés ;
  • Méthodes de résistance active face aux tentatives d'étude connexe et d'interception de l'administration ;
  • Diffusion massive et de courte durée du code malveillant ;
  • Application efficace des astuces de l'ingénierie sociale ;
  • Utilisation de divers moyens de diffusion et abandon progressif des moyens les plus évidents (courrier électronique) ;
  • Différents modèles pour l'exécution de diverses fonctions (et non pas tout-en-un).

Nous pouvons désigner cette nouvelle génération de programmes malveillants sous le terme Malware 2.0.Les programmes malveillants Bagle, Zhelatin et Warezov utilisent une technique similaire. Ils sont responsables d'une grande partie des diffusions actuelles de courrier indésirable, mais certaines catégories de chevaux de Troie visant les services bancaires en ligne et les jeux affichent des caractéristiques propres à ce mode de fonctionnement.

2. Rootkit et "Bootkit"

Les techniques de dissimulation de l'activité dans le système (rootkit) sont appliquées non seulement par les chevaux de Troie mais également par les virus de fichiers. Une autre méthode dangereuse de dissimulation de la présence dans le système consiste à infecter le secteur d'amorçage du disque. Ce sont les "bootkits". Il s'agit de la réincarnation d'une ancienne technique qui permet à un programme malveillant de prendre les commandes de l'ordinateur avant le chargement de la partie principale du système d'exploitation (et des logiciels antivirus). Cette astuce a été exploitée en 2007 par Backdoor.Win32.Sinowal. Cette méthode représente un danger certain pour les utilisateurs et pourrait devenir en 2008 un des principaux problèmes rencontrés dans le domaine de la sécurité informatique.

3. Virus de fichiers

Les virus de fichiers poursuivent leur retour. Comme par le passé, les individus mal intentionnés chinois sont les premiers producteurs de ces programmes et ils visent les joueurs en ligne. Il n'est pas exclu que les auteurs de Zhelatin et de Warezov infectent les fichiers car cela leur donnerait encore un autre moyen important de diffusion.

Nous devons nous attendre en 2008 à une explosion du nombre d'incidents impliquant des fichiers d'installation de jeux diffusés sur des sites fréquentés ou dans des réseaux d'échange de fichiers. Les virus tenteront d'infecter les fichiers que les utilisateurs proposent aux autres. Dans de nombreux cas, ce mode de propagation peut être plus efficace que la diffusion d'un fichier malveillant par courrier électronique.

4. Attaques contre les réseaux sociaux

L'hameçonnage va connaître de grands bouleversements dans le courant de l'année 2008 et sera orientés vers les utilisateurs des réseaux sociaux. Les comptes des utilisateurs de services tels que Facebook, MySpaces, Livejournal, Blogger ou autres vont être de plus en plus recherchés par les individus mal intentionnés. Ces sites vont devenir une alternative de choix pour la diffusion de programmes malveillants vis des sites compromis. On peut s'attendre à ce que la majorité des chevaux de Troie en 2008 soit diffusée via les comptes d'utilisateurs de réseaux sociaux et plus exactement via leurs blogs et leurs profils.

Les attaques XSS\PHP\SQL constituent un autre problème lié aux réseaux sociaux. A la différence de l'hameçonnage qui utilisent exclusivement des méthodes d'escroquerie et d'ingénierie sociale, ces attaques se basent sur les erreurs et les vulnérabilités des services Web 2.0 et peuvent toucher les utilisateurs les plus avertis. Comme toujours, l'objectif est d'obtenir des données privées et de créer une base/une liste en vue de lancer des attaques à l'aide de méthodes "traditionnelles".

5. Menaces pour les appareils nomades

S'agissant des appareils nomades et principalement des téléphones mobiles, les menaces prendront la forme de chevaux de Troie primitifs semblables aux membres de la famille Skuller pour Symbian ou du premier cheval de Troie pour l'iPhone ou de diverses vulnérabilités dans les systèmes d'exploitation et les applications pour les téléphones intelligents. La probabilité de voir une épidémie internationale impliquant un ver pour appareil nomade est toujours réduite, même si les conditions techniques pour un tel événement existent déjà. La consolidation du marché des systèmes d'exploitation pour les téléphones intelligents entre Symbian et Windows Mobile a été perturbée en 2007 par l'introduction de l'iPhone et l'annonce de la nouvelle plateforme mobile de Google baptisée Android. Il est plus que probable que la nouveauté et la popularité de l'iPhone va susciter un intérêt supérieur de la part des individus mal intentionnés. Cette éventualité est d'autant plus probable si les outils de développement (SDK) pour l'iPhone sont rendus publics comme l'a annoncé Apple à la fin de l'année 2007.

La version complète du rapport annuel "Bulletin de sécurité de Kaspersky Lab sur la cyber-sécurité en 2007" est disponible sur le site de la sécurité informatique Viruslist.com.
Kaspersky Anti-virus Logo
Photos non contractuelles - Copyright © 1997 - 2009 Kaspersky Lab
La meilleure des technologies en matière de prévention des cyber-risques
Confidentialité |Contactez-nous