Kaspersky Lab: Antivirus Software and Free Online Virus Scan
Free Virus Scan|Free Trials|Site Map

HomeMenaces Salle de PresseBaromètre annuel sur la cybercriminalité en 2008 : lutte pour la survie
Menaces

Baromètre annuel sur la cybercriminalité en 2008 : lutte pour la survie

Baromètre annuel sur la cybercriminalité en 2008 : lutte pour la survie

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de menaces cybercriminelles (botnets, escroqueries, phishing, spams, etc.) annonce la publication de son rapport annuel portant sur le développement des menaces en 2008.

Ce Baromètre annuel s’adresse aussi bien aux professionnels de la sécurité qu'aux utilisateurs qui s'intéressent à l’évolution de la cybercriminalité.

Pour la première fois, ce rapport a été réalisé à l'aide d'informations obtenues et traitées via Kaspersky Security Network (KSN). Développée par Kaspersky Lab, cette technologie nouvelle permet, non seulement, d’obtenir des informations sur les menaces et de suivre leur développement en temps réel, mais aussi, d’accélérer considérablement la découverte de menaces encore inconnues et pour lesquelles il n'existe pas encore de définition ou de détection par analyse heuristique.

Alors qu’en 2007 les experts de Kaspersky Lab avaient pu constater la disparition des programmes malveillants non commerciaux, ils estiment que l'année 2008 est marquée par celle des programmes malveillants "exclusifs" créés et utilisés par une ou deux personnes maximum à des fins lucratives. La majorité des chevaux de Troie et des virus découverts en 2008 ont été développés afin d'être revendus à d'autres personnes. Les services d'assistance technique pour ces programmes, notamment le contournement des logiciels antivirus, ont été largement utilisés. Les cybercriminels ont commencé à assimiler la notion de "répartition des tâches" : la création, la diffusion et l'utilisation des programmes malveillants sont l'oeuvre de personnes différentes.

A l’échelle internationale, le rôle de leader incontesté dans la production de programmes malveillants revient à la Chine. Loin de se contenter de créer leurs propres chevaux de Troie, les cybercriminels chinois traduisent désormais des menaces étrangères. Entre avril et octobre 2008, ils ont lancé deux attaques de taille contre divers sites Web. Lors de la première attaque, menée entre avril et juin 2008, plus de deux millions de ressources Internet dans le monde furent compromises.

Les auteurs de virus russophones restent eux aussi influents. Ils poursuivent le développement du modèle Malware 2.0. Cette tendance s'est clairement manifestée avec deux outils de dissimulation d'activité extrêmement dangereux découverts en 2008 : Rustock.C et SInowal. Ces outils exploitent des technologies inédites, à la fois en termes d’ampleur et de sophistication. Elles dépassent par exemple ce que les vers Zhelatin et Warezov avaient démontré.

Conformément aux prévisions antérieures des experts de Kaspersky Lab, l'année 2008 fut marquée par le retour des virus de fichiers. Outre leur traditionnelle fonction d’infection de fichiers, ces virus ont été enrichis pour permettre le vol de données ainsi que la propagation via les disques amovibles. Les virus de fichiers peuvent désormais infecter rapidement les ordinateurs à travers le monde.

Les vers présents sur les clés USB peuvent contourner les protections installées sur les réseaux des entreprises, les messageries électroniques, les serveurs de fichiers. Une fois implanté sur un poste local après avoir évité ces modes de contrôle, ce ver peut se diffuser sur tout le réseau en se copiant dans toutes les ressources accessibles.

La diffusion de nombreuses versions du ver Zhelatin (Storm Worm) s'est arrêtée en 2008. Tout au long de ses deux années d'existence (les premières versions du ver furent identifiées en janvier 2007), ce ver a posé de nombreuses questions. Le quasi mythique "ver de la tempête", qui selon certaines estimations aurait touché deux millions d'ordinateurs, n'a pas dévoilé toute sa puissance, et les diffusions massives de courrier indésirable ou les attaques DDoS n'ont pas eu lieu.

Ceci s'explique peut-être en partie par la fermeture effective de la société d'hébergement cybercriminelle RBN (Russian Business Network). Les discussions sur son implication dans presque tous les incidents criminels survenus sur Internet ont poussé les propriétaires inconnus de RBN à "scinder" leur activité en dizaines de petits centres répartis dans le monde entier et à travailler plus discrètement.

Plusieurs coups significatifs ont été portés aux cybercriminels en automne de l'année dernière. Grâce aux efforts coordonnés de sociétés Internet, d'éditeurs de logiciels antivirus et des autorités publiques, les sociétés Atrivo/Intercage, EstDomains et McColo ont été démantelées. Ces fermetures ont entraîné une réduction importante (de plus de 50 %) du volume du courrier indésirable sur Internet. De nombreux réseaux de zombies administrés depuis ces ressources bloquées ont également cessé leur activité. Même si après quelques semaines le volume de courrier indésirable a commencé à augmenter à nouveau, cet événement doit être considéré comme une des victoires les plus significatives de ces dernières années.

Les pronostics des experts de Kaspersky Lab pour 2008 se sont malheureusement vérifiés, notamment en ce qui concerne la diffusion des outils de dissimulation d'activité, les attaques contre les réseaux sociaux, les programmes malveillants contre les jeux et les réseaux de zombies.

La problématique des outils de dissimulation est plus grave que l'année dernière. Kaspersky Lab a réalisé trois études d'envergure sur la question : « Rustock et tout le reste », « Evolution des outils de dissimulation de l'activité » et « Outil de dissimulation d'activité : défi de 2008 ». Elles révèlent que les possibilités pour l'organisation d'attaques complexes dans ce domaine sont toujours relativement nombreuses. Toutefois, la majorité des éditeurs de logiciels antivirus n'accorde pas encore suffisamment d'attention à la problématique de la découverte et de la neutralisation des outils de dissimulation d'activité actifs.

La popularité croissante des réseaux sociaux et leur utilisation active dans les pays comptant un nombre élevé de nouveaux internautes (Asie du Sud Est, Inde, Chine, Amérique du Sud, Turquie, Afrique du Nord, pays de l'ex-URSS) se sont traduites par un nombre inquiétant d'attaques réalisées via les réseaux sociaux. D'après les experts de Kaspersky Lab, l'efficacité de la diffusion du code malveillant dans les réseaux sociaux est d'environ 10 %, un résultat bien supérieur à l'efficacité des méthodes classiques de diffusion des programmes malveillants par courrier électronique (inférieure à 1 %).

Ces réseaux sociaux sont utilisés non seulement pour diffuser de nouveaux programmes malveillants mais aussi pour collecter des informations et pour commettre de nombreuses escroqueries, y compris par hameçonnage. L'épidémie la plus remarquable est imputable au ver Koobface dont les premières versions furent découvertes par Kaspersky Lab en juillet 2008. Ce ver, qui s'est d’abord attaqué aux utilisateurs de Facebook et MySpace, a même été déployé à partir du mois de décembre sur le troisième réseau social : Bebo.

Les experts ont enregistré en 2008 une croissance continue du nombre de programmes malveillants développés pour voler les mots de passe d'accès aux jeux en ligne : en un an, 100 397 nouveaux chevaux de Troie de jeu ont été découverts, soit trois fois plus qu'en 2007 (32 374). Bien que les règles de la majorité des mondes virtuels interdisent la vente des actifs virtuels pour de l'argent réel, le nombre d'acheteurs intéressés ne cesse d'augmenter. En général, l'acheteur se soucie peu de savoir si ces biens ont été gagnés par un autre joueur ou volés à l'aide d'un code malveillant. Cette situation est à l'avantage des auteurs de virus car elle entraîne une augmentation des prix et facilite la criminalisation du marché des actifs virtuels.

Le mot "réseau de zombies" utilisé majoritairement par les employés des sociétés de logiciels antivirus, fait désormais partie du vocabulaire commun depuis un an. Les réseaux de zombies sont devenus la principale source de propagation du courrier indésirable, des attaques DDoS et de diffusion de nouveaux programmes malveillants.

Il convient de remarquer que les réseaux de zombies ont un rapport direct avec tous les sujets abordés dans le baromètre annuel de Kaspersky Lab : outils de dissimulation d'activité, attaques contre les utilisateurs de réseaux sociaux et les adeptes de jeux en ligne, etc. Il fallait s'attendre à ce que ce secteur et cette technologie se retrouvent au centre de toutes les attentions. Il est également important de voir que les événements survenus dans ces domaines en 2008 démontrent clairement le potentiel de ces problèmes et l'inéluctabilité de leur développement et de leur complication dans un avenir proche.

La version complète du rapport annuel contient des informations détaillées sur chacun des sujets traités ici.

Pronostics

Il est évident que la cybercriminalité ne va pas disparaître en 2009: les attaques contre les joueurs en ligne et les utilisateurs de réseaux sociaux vont se poursuivre ; les technologies développées par les cybercriminels vont être de plus en plus sophistiquées, le nombre de réseaux de zombies va augmenter et la cybercriminalité en tant qu'activité et service va se développer.

Les pronostics des experts de Kaspersky Lab portent sur les tendances qui ne sont pas encore avérées mais qui pourraient avoir une influence significative sur le développement de la cybercriminalité en 2009.

Epidémies mondiales

Les experts de Kaspersky Lab ont observé la fin de l'ère des épidémies mondiales en 2008. Cette période, entamée en 2000 et ayant atteint son apogée en 2003-2005, se caractérise par un grand nombre de vers à l'origine d'épidémies mondiales, diffusés d'abord par courrier électronique puis par attaques de réseaux. Les années 2007 et 2008 ont été marquées par la croissance ininterrompue des chevaux de Troie développés pour le vol d'informations majoritairement en rapport avec des systèmes de transactions bancaires en ligne ou des jeux en ligne. Mais, 2009 pourrait déjà voir un renversement des tendances. Les experts de Kaspersky Lab n'excluent pas, en effet, de potentiels incidents graves qui, par leur ampleur, pourraient dépasser ce que nous avons connu les années antérieures. La propagation du ver de réseau Kido est le premier exemple de ce genre d'épidémies.

Le marché actuel de la cybercriminalité est saturé. Le nombre d'individus et de groupes sur ce marché est trop élevé et ils se livrent à une rude concurrence. On s'attend toutefois à une augmentation du nombre de cybercriminels en 2009. La crise économique mondiale en est la cause. Les licenciements dans le secteur des technologies de l'information et l'abandon de projets vont mettre de nombreux programmeurs hautement qualifiés au chômage, les incitant à rechercher d’autres sources de revenus. Si l'on sait que le niveau de connaissances techniques de telles "recrues" est bien supérieur à celui de la majorité des cybercriminels actuels, la concurrence va être sérieuse.

Il n'existe qu'une seule manière de survivre dans un milieu aussi compétitif : infecter un maximum de machines le plus vite possible. Et pour obtenir un tel résultat, les cybercriminels vont devoir réaliser des attaques contre des millions d'utilisateurs.

Baisse de l’activité des chevaux de Troie pour jeux en ligne

Les prévisions des experts de Kaspersky Lab sur la réduction de l'activité des chevaux de Troie de jeux vont à l'encontre de l'avis de la majorité des éditeurs de logiciels antivirus. A l'heure actuelle, il existe des centaines de milliers de chevaux de Troie de jeux. La simplicité de création de ces programmes, le nombre important de victimes potentielles et d'autres facteurs désignés sous le terme de "seuil d'entrée dans le marché", ont provoqué la saturation du marché.

Les revenus tirés de la vente de biens virtuels de jeux sont maigres, la concurrence est forte, les éditeurs de logiciels antivirus ont appris à lutter contre la multitude de programmes malveillants de jeux, les joueurs sont mieux informés, les éditeurs de jeux ont introduit des mesures pour arrêter les opérations illégales avec les comptes et les actifs virtuels volés. Par conséquent, il se peut que le nombre de programmes malveillants de jeux va diminuer tout comme le nombre de groupes criminels spécialisés en la matière.

Malware 2.5

Un nouveau concept vient remplacer Malware 2.0. Le concept de fonctionnement de réseaux de zombies gigantesques distribués, inventé par des pirates russes et exprimé dans des programmes malveillants tels que Rustock.C, Sinowal (bootkit) et quelques autres) a démontré sa grande fiabilité et efficacité.

Voici les principales caractéristiques du nouveau concept :

  • Absence de centre de commande fixe du réseau de zombies (réseau de zombies nomade) ;
  • Utilisation d'algorithmes de cryptographie solides pour l'interaction entre le centre de commande et les machines du réseau de zombies ;
  • Utilisation de centres de commande universels pour divers réseaux de zombies.

Ces technologies sont étroitement liées au domaine des calculs distribués et à la création de systèmes fonctionnant sous une charge importante avec d'importants volumes de données (architecture HighLoad). C'est précisément dans le domaine de la création de systèmes distribués hautement fiables que les experts de Kaspersky Lab s’attendent à une augmentation de la concurrence entre les groupes cybercriminels. Ceux qui pourront créer leur propre système vont définir le niveau global de menaces et des problèmes qu'elles vont poser à l'avenir. Les script-kiddies sont remplacés par des experts sérieux capables de créer et de maintenir le concept Malware 2.5.

Hameçonnage/escroquerie

Les escroqueries en ligne et l'hameçonnage vont prendre de l'ampleur sur Internet. Et les attaques des cybercriminels vont être plus subtiles et plus intenses.

Deux facteurs influencent l'augmentation du nombre d'escroqueries et d'attaques d'hameçonnage. Tout d'abord, en temps de crise, lorsque les banques disparaissent, changent de propriétaire ou connaissent des problèmes de paiement, les escrocs disposent de nouveaux prétextes pour attirer l'attention des utilisateurs. Ensuite, la complexité du développement, de la réalisation et de la diffusion des programmes malveillants modernes poussent bon nombre de cybercriminels à chercher des méthodes plus faciles et plus économiques pour gagner de l'argent. Dans ce contexte, l'hameçonnage peut être une des solutions les plus attrayantes.

Différenciation des programmes malveillants selon les plateformes

Une des conséquences les plus visibles de la concurrence renforcée entre les cybercriminels sur le plan technologique et au niveau de la lutte pour le plus grand nombre d'ordinateurs infectés est l'introduction de menaces dans des secteurs où elles étaient jusqu’alors plutôt rares. Avant, certaines plateformes faisaient l'objet d'expérience. Maintenant, tous les systèmes d'exploitation autres que Microsoft Windows y compris Mac OS et les plateformes mobiles, sont suffisamment utilisés pour susciter l'intérêt d'un plus grand nombre de cybercriminels. D’autant que persistent sur ces plateformes de nombreux problèmes de sécurité sans solution.

La version complète du rapport annuel "Bulletin de Kaspersky sur la sécurité en 2008. Développement des menaces en 2008" est disponible sur le site d'informations et d'analyse Viruslist.com.
Kaspersky Anti-virus Logo
Photos non contractuelles - Copyright © 1997 - 2009 Kaspersky Lab
La meilleure des technologies en matière de prévention des cyber-risques
Confidentialité |Contactez-nous