Rapport de McAfee Labs sur le paysage des menaces — Février 2015

Transcripción

Rapport
Rapport de McAfee Labs
sur le paysage des menaces
Février 2015
Des millions d'utilisateurs
d'applications mobiles sont
toujours exposés à des
attaques exploitant des
vulnérabilités SSL.
À propos de McAfee Labs
McAfee Labs est l'une des principales références à l'échelle
mondiale en matière d'études et de renseignements sur
les menaces, et les orientations stratégiques qu'il propose
dans le domaine de la cybersécurité font autorité. Grâce
à des données sur les principaux vecteurs de menaces
(fichiers, Web, messagerie et réseau) recueillies à partir de
millions de sondes, McAfee Labs fournit des renseignements
en temps réel sur les menaces, des analyses critiques
et des avis d'experts qui contribuent à améliorer les
protections informatiques tout en réduisant les risques.
McAfee fait désormais partie d'Intel Security.
www.mcafee.com/fr/mcafee-labs.aspx
Suivre McAfee Labs
Introduction
Dans notre dernier Rapport sur le paysage des menaces,
nous avions publié neuf prévisions en matière de menaces
pour 2015. Deux mois à peine après le début de la nouvelle
année, certaines d'entre elles se sont déjà réalisées.
« Les petits États et les groupes terroristes étrangers
feront la guerre à leurs ennemis sur le terrain du
cyberespace. Ils lanceront des attaques par déni
de service distribué paralysantes ou utiliseront des
logiciels malveillants (malware) particulièrement
destructeurs — certains effaçant les secteurs de
démarrage des disques, par exemple, mettant
ainsi à mal les réseaux de leurs cibles. »
Le FBI a imputé l'attaque lancée contre Sony Pictures
Entertainment à la Corée du Nord, celle-ci impliquant
précisément l'effacement de secteurs de démarrage.
« Ce vecteur d'attaque [Shellshock] servira de
point d'entrée dans divers types d'infrastructures,
notamment les appliances de particuliers et les
entreprises fortement dépendantes de systèmes
d'exploitation autres que Windows. Nous nous
attendons donc à une hausse significative des
logiciels malveillants non Windows en 2015 (...) »
Des logiciels malveillants exploitant la vulnérabilité
Shellshock ciblent les équipements de stockage en
réseau (NAS) QNAP dépourvus des patchs adéquats.
« (...) les boutiques d'applications et les sites de
téléchargement direct d'applications non approuvés
sont légion, et les applications qu'ils proposent
dissimulent souvent des logiciels malveillants.
Souvent, le trafic sur ces boutiques et sites
d'applications malveillants trouve son origine dans
des publicités malveillantes, lesquelles ont connu un
essor rapide sur les plates-formes mobiles. En 2015,
nous continuerons à observer une croissance rapide
des publicités malveillantes ciblant les utilisateurs
mobiles, confortant la tendance à la hausse des
logiciels malveillants sur mobiles. »
En collaboration avec la Technische Universität Darmstadt
et le Centre for Advanced Security Research Darmstadt,
les chercheurs de McAfee Labs ont identifié un logiciel
malveillant propagé par des torrents et se faisant passer
pour une application Android. Prétextant télécharger
le film « The Interview », il installe en réalité un cheval
de Troie bancaire sur les terminaux mobiles. Jusqu'ici,
20 000 appareils ont été infectés.
Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 2
« Nous avons déjà été témoins de techniques exploitant
des vulnérabilités et contournant les environnements
sandbox d'applications. Ce n'est qu'une question de
temps avant que ces techniques soient proposées aux
cybercriminels sur le marché noir. Nous pensons que
cela devrait arriver en 2015. »
Pour conclure :
■■
De fait, le 13 janvier dernier, Microsoft a signalé qu'une
vulnérabilité d'élévation de privilèges affectant Internet
Explorer permettait le contournement d'environnements
sandbox et qu'elle était exploitée dans le cadre d'une
attaque de type « jour zéro ».
Les cybercriminels sont tellement prévisibles !
Le premier article de la section Points marquants aborde
un sujet pour le moins alarmant : celui de la divulgation
d'informations, notamment des noms d'utilisateur
et des mots de passe, lors de la communication de
certaines applications mobiles vulnérables avec leurs
sites web associés. Ceux d'entre vous qui seront présents
au Mobile World Congress en mars ont tout intérêt
à mûrement y réfléchir avant d'arriver à Barcelone.
La section Statistiques sur les menaces de ce rapport
contient également quelques graphiques relatifs aux
terminaux mobiles qui devraient vous intéresser.
Le deuxième article de la section Points marquants
s'intéresse au kit d'exploits Angler, qui a rapidement pris
la relève de Blacole après l'arrestation de l'auteur de ce
dernier fin 2013. Encore plus redoutable et répandu que
Blacole, simple d'emploi et largement disponible sur les
marchés noirs en ligne, Angler est devenu un vecteur
de choix pour la distribution de logiciels malveillants.
Enfin, le troisième article met en évidence l'univers
complexe des programmes potentiellement indésirables
(PUP, Potentially Unwanted Programs). Les PUP sont des
applications aux usages légitimes, mais qui présentent des
fonctions et comportements susceptibles d'être exploités
au détriment de l'utilisateur sans son consentement.
Comme en témoigne cet article, certains auteurs de PUP
se font plus agressifs. C'est pourquoi une mise à jour
fréquente des stratégies relatives à ces menaces est
indispensable afin de s'assurer une protection efficace.
■■
■■
En septembre, Intel Security s'est associé
à trois autres éditeurs de solutions de
sécurité pour fonder la Cyber Threat Alliance.
L'objectif de cette alliance consiste d'une part
à promouvoir une collaboration sectorielle plus
efficace autour de l'analyse et de l'éradication
des menaces de cybersécurité et, d'autre
part, à assurer une protection renforcée aux
particuliers et aux entreprises, quel que soit
leur secteur d'activité. Nous sommes ravis
d'annoncer que plus de 100 autres entreprises
spécialisées dans la sécurité ont exprimé leur
intérêt pour cette initiative. Nous sommes
convaincus que, grâce à leur adhésion future,
l'alliance produira un effet de réseau très
bénéfique à l'ensemble des clients.
Nous avons récemment publié le rapport
L'être humain, nouvelle cible des pirates
qui s'intéresse au concept d'ingénierie sociale
et à son exploitation par les cybercriminels.
Nous vous encourageons à prendre
connaissance de ce document très instructif.
Les commentaires que nous recevons de
nos lecteurs à propos de nos rapports sur le
paysage des menaces nous sont toujours très
utiles. Si vous souhaitez nous faire part de vos
impressions au sujet de cette édition, cliquez
ici pour participer à une petite enquête qui ne
vous prendra pas plus de cinq minutes.
— Vincent Weafer, Vice-Président Directeur, McAfee Labs
Partager ce rapport
Sommaire
Rapport de McAfee Labs sur
le paysage des menaces
Février 2015
Ce rapport a été préparé et rédigé par :
Carlos Castillo
Alex Hinchliffe
Patrick Knight
Chris Miller
Rajesh Nataraj KP
François Paget
Eric Peterson
Arun Pradeep
Craig Schmugar
Rick Simon
Dan Sommer
Bing Sun
Adam Wosotowsky
Résumé
5
Points marquants 6
Les utilisateurs mobiles en danger : des vulnérabilités
SSL/TLS toujours bien présentes 7
Adieu Blacole, place à Angler 16
Cinquante nuances de « gris » : l'univers complexe
des programmes potentiellement indésirables (PUP)
25
Statistiques sur les menaces
34
Résumé
Les utilisateurs mobiles en danger : des vulnérabilités SSL/TLS
toujours bien présentes
Il y a plusieurs mois maintenant
que les fournisseurs d'applications
mobiles bien connues ont été
avertis du danger pour l'utilisateur
de l'exploitation de vulnérabilités
SSL/TLS. Or, à l'heure actuelle,
la sécurité de bon nombre d'entre
elles laisse toujours à désirer.
Notre premier article de la section Points marquants se penche sur les
vulnérabilités cryptographiques présentes dans certaines applications mobiles
populaires, qui permettent aux cybercriminels de lancer des attaques de
l'intercepteur (man‑in-the-middle) lorsque les utilisateurs se connectent aux
sites web compagnons des applications en question. Les mauvaises pratiques
de programmation des développeurs de ces applications exposent les utilisateurs
à l'exploitation de tout un éventail de vulnérabilités SSL/TLS, dont BERserk et
Heartbleed, qui affectent l'établissement de sessions sécurisées. Dès lors, toutes
les communications entre les applications mobiles et leurs sites web, y compris
les noms d'utilisateur et les mots de passe, sont visibles des cybercriminels.
Couplée à la disponibilité dans le commerce du code source de logiciels
malveillants pour mobiles et au fait que —comme l'a précédemment prédit
McAfee Labs — des kits de génération de malware pour mobiles pourraient
bientôt être proposés sur le Web clandestin, cette exposition crée un terreau
propice au vol d'informations et risque d'éroder la confiance dans Internet.
Adieu Blacole, place à Angler
Le kit d'exploits Angler a pris la
relève de Blacole pour devenir
l'un des kits d'attaque les plus
redoutables et les plus répandus.
Un kit d'exploits est un package logiciel commercialisé sur le marché noir,
permettant d'élaborer facilement des attaques qui exploitent des vulnérabilités
tant connues qu'inconnues. Peu après l'arrestation de l'auteur du kit d'exploits
Blacole en 2013, les cybercriminels se sont tournés vers le kit Angler pour
distribuer leurs charges actives. Simple d'emploi et largement disponible sur
les marchés clandestins du Web, Angler est devenu un vecteur de choix pour
la diffusion de logiciels malveillants. Au second semestre 2014, Angler a attiré
l'attention du secteur de la sécurité informatique en raison de sa prévalence
et des nouvelles fonctionnalités qu'il offrait. Parmi celles-ci, l'infection sans
fichier, la détection des machines virtuelles et des produits de sécurité ainsi que
sa capacité à distribuer un large éventail de charges actives, notamment des
chevaux de Troie bancaires, des rootkits, des logiciels de demande de rançon
(ransomware), CryptoLocker, et des chevaux de Troie de type porte dérobée
(backdoor). Au moment de la rédaction de ce rapport, Angler comptait toujours
parmi les kits d'exploits les plus populaires.
Cinquante nuances de « gris » : l'univers complexe des programmes
potentiellement indésirables (PUP)
Situés aux frontières entre la simple
nuisance et le logiciel malveillant,
les programmes potentiellement
indésirables (PUP) se font
cependant toujours plus agressifs.
Les programmes potentiellement indésirables (PUP, Potentially Unwanted Programs)
sont des applications aux usages légitimes, mais qui présentent des fonctions et
comportements susceptibles d'être exploités au détriment de l'utilisateur sans son
consentement. Entre autres techniques de distribution, ils utilisent l'ingénierie sociale,
le piratage de publicités en ligne, l'installation involontaire d'extensions et de plug-ins
de navigateur, l'installation forcée d'applications légitimes ou leur exploitation à l'insu
de l'utilisateur. Par ailleurs, le fait qu'ils ne présentent pas le type de comportement
généralement détecté par les produits de sécurité les rend difficiles à contrôler.
Comme en témoigne cet article, certains auteurs de PUP se font plus agressifs.
C'est pourquoi une mise à jour fréquente des stratégies relatives à ces menaces
est indispensable afin de s'assurer une protection efficace.
Partager ce rapport
Points marquants
Les utilisateurs mobiles en danger :
des vulnérabilités SSL/TLS toujours
bien présentes
Cinquante nuances de « gris » :
l'univers complexe des programmes
Donner votre avis
Points marquants
Les utilisateurs mobiles en danger :
des vulnérabilités SSL/TLS toujours
bien présentes
— Carlos Castillo, Alex Hinchliffe et Rick Simon
Une chose est sûre : l'utilisation des applications mobiles est en plein essor.
Le slogan d'Apple « Il y a une application pour ça » n'a jamais été aussi vrai.
Selon une étude menée par Nielsen en 2014 auprès de quelque 5 000 utilisateurs
de smartphones, le nombre d'applications utilisées par une personne sur un mois
est passé de 23 en 2011 à près de 27 en 2013. Plus édifiant encore, le temps
consacré à l'utilisation des applications mobiles a augmenté à un taux encore
supérieur. Sur cette même période de deux ans, la durée d'utilisation a grimpé de
65 %, soit 30 heures par mois en 2013 contre 18 heures en 2011. Non seulement
la dépendance vis-à-vis des applications mobiles s'est accrue, mais celles-ci sont
devenues plus attrayantes.
Nbre moyen d'applications utilisées et
temps d'utilisation par personne par mois
30:15
30
23:02
25
20
18:18
15
23,3
26,5
26,8
4e trim. 2011
4e trim. 2012
4e trim. 2013
10
5
0
Nombre
d'applications
Temps d'utilisation par
personne (hh:mm)
Source : Nielsen, 2014
Ces tendances à la hausse sont certes une excellente nouvelle pour les responsables
du marketing et les consommateurs (tout comme pour les développeurs
d'applications professionnelles et leurs clients). Elles se traduisent cependant
par des problèmes de sécurité et de confidentialité difficiles à surmonter.
Certains de ces problèmes sont causés par l'agressivité exagérée de certains
développeurs, d'autres par les réseaux publicitaires intégrés dans leurs
applications. Ainsi, selon le McAfee Mobile Security Report (Rapport sur la
sécurité mobile de McAfee) de février 2014, si les jeux constituent la catégorie
d'applications la plus populaire de l'App Store d'Apple, c'est également celle
où l'on rencontre le plus d'abus. Une proportion stupéfiante d'applications
mobiles (82 % !) surveillent l'utilisation des réseaux Wi-Fi et de données,
la mise en marche du terminal, sa dernière localisation ou sa position
actuelle. La plupart du temps, les utilisateurs acceptent le partage
de ces informations au moment de l'installation des applications.
Partager ce rapport
Points marquants
Les applications mobiles posent d'autres problèmes de sécurité imprévus,
certains étant liés à une catégorie de vulnérabilités particulièrement inquiétante
que nous abordons dans cet article.
Les vulnérabilités propres aux mécanismes cryptographiques :
aussi nombreuses que préoccupantes
Au cours d'une attaque de
l'intercepteur (MITM), un pirate
insère subrepticement du code
dans le canal de communication
entre deux parties. Il peut ensuite
entreprendre toute une série
d'activités, qui vont de l'écoute
clandestine à la manipulation
de la conversation tout entière.
Les attaques MITM débutent
par l'altération du processus
cryptographique d'authentification
entre les deux parties. SSL/TLS
étant le protocole de cryptographie
le plus courant, il est également
le plus piraté.
L'apparition de cette catégorie de vulnérabilités qui touchent les applications
mobiles n'a aucun lien avec ces dernières en soi : elle trouve plutôt son origine
dans le processus cryptographique que ces applications utilisent pour établir
des connexions sécurisées avec les sites Internet.
Dans le Rapport de McAfee sur le paysage des menaces — Novembre 2014,
nous avions analysé en détail la vulnérabilité BERserk, cette faille du processus
de vérification des signatures RSA exécuté par les applications mobiles et non
mobiles au moment de l'établissement des connexions sécurisées. La vulnérabilité
BERserk permet à un pirate de falsifier des certificats RSA et de lancer des attaques
de l'intercepteur (MITM, man-in-the-middle) à l'insu de l'utilisateur. Ces attaques
compromettent la confidentialité et l'intégrité des sessions entre les utilisateurs
et leurs sites, bénéficiant pourtant d'un niveau élevé de confiance.
Une faille similaire du nom de Heartbleed affecte l'implémentation OpenSSL
du protocole SSL/TLS et permet aux cyberpirates d'exploiter des connexions
en apparence sécurisées entre les utilisateurs et les sites web. Là encore, elle tire
parti du fait que les applications mobiles et non mobiles établissent souvent des
connexions sécurisées via OpenSSL. Au moment de la divulgation de Heartbleed,
on estimait à environ 17 % (soit 500 000) la proportion de serveurs web sécurisés
dans le monde vulnérables à ses exploits. Compte tenu de sa prévalence,
beaucoup considèrent Heartbleed comme la pire vulnérabilité jamais découverte.
Dans le Rapport de McAfee Labs sur le paysage des menaces — Août 2014,
McAfee Labs s'est intéressé à l'impact de Heartbleed. Nous avions fait remarquer
que, quelques jours seulement après la divulgation de la faille, la communauté des
experts en sécurité s'était largement mobilisée et qu'une pléthore de données et
d'outils avaient été partagés. Hélas, le tableau s'assombrissait par la suite puisque
bien qu'un correctif pour Heartbleed ait été rapidement appliqué à la plupart des
sites web à fort trafic, de nombreux équipements IP restaient vulnérables aux
exploits tirant parti de la vulnérabilité.
Tant BERserk que Heartbleed sont des exemples frappants de vulnérabilités
liées aux mécanismes cryptographiques. Elles ne sont toutefois pas les seules
à exploiter des connexions sécurisées entre les utilisateurs et les sites web
apparemment sûres, alors qu’en réalité, elles ont été compromises par un
exploit. Et c'est la confiance dans Internet même qu'elles ébranlent.
Vulnérabilités cryptographiques et applications mobiles
Quel est le lien entre ce qui précède et la sécurité des applications mobiles ?
Face à l'utilisation croissante des applications mobiles, au nombre considérable
de vulnérabilités cryptographiques et à l'impact de ces dernières sur la confiance
dans Internet, les développeurs d'applications doivent mettre tout en œuvre pour
assurer la sécurité de leurs utilisateurs, tant mobiles que non mobiles, et le respect
de leur vie privée.
L'équipe CERT (Computer Emergency Response Team) de la Carnegie Mellon
University a annoncé en août 2014 la sortie de CERT Tapioca (Transparent
Proxy Capture Appliance). Cette appliance de machine virtuelle préconfigurée,
faisant office de proxy transparent au niveau de la couche Réseau, effectue
l'analyse des logiciels afin de détecter le trafic lié aux attaques MITM. Quelques
semaines plus tard, la CERT a publié un article de blog faisant état que Tapioca,
par un processus automatisé, avait découvert de nombreuses vulnérabilités
SSL présentes dans des applications mobiles.
Partager ce rapport
Points marquants
En septembre 2014, la CERT
a publié une liste des applications
mobiles qui sont vulnérables aux
attaques MITM du fait qu'elles
ne valident pas correctement les
certificats SSL. Parmi celles‑ci,
McAfee Labs a analysé les
25 applications les plus
téléchargées qui transmettent
des informations d'identification
via des connexions non sécurisées
et a déterminé que 18 d'entre elles
sont toujours vulnérables.
Les enquêtes menées ont abouti à la publication de l'avis de vulnérabilité
VU#582497 en septembre 2014. Celui-ci met en lumière l'incapacité de plus
de 20 000 applications mobiles à valider correctement les certificats SSL, ce qui
les rend vulnérables aux attaques MITM. L'ensemble des applications testées et
les informations connexes (versions testées, type, nombre de téléchargements,
identificateurs CVE et identificateurs d'avis de vulnérabilité CERT, etc.) sont
renseignées dans cette feuille de calcul accessible au grand public.
Récemment, McAfee Labs a décidé d'analyser les applications mobiles les plus
téléchargées figurant dans cette feuille de calcul afin de s'assurer qu'elles ne sont
plus exposées à l'une des vulnérabilités SSL les plus élémentaires : la validation
incorrecte des chaînes de certificats numériques. Nous avons plus précisément
évalué les 25 applications mobiles les plus téléchargées identifiées comme
vulnérables par la CERT en septembre, pour vérifier que les noms d'utilisateur et
les mots de passe ne sont plus visibles en raison d'une vérification inadéquate des
certificats SSL. À notre grande surprise, malgré les avertissements adressés par la
CERT aux développeurs des mois plus tôt, 18 des 25 applications vulnérables les
plus téléchargées qui envoient des informations d'identification par l'intermédiaire
de connexions non sécurisées sont toujours sujettes aux attaques MITM.
C'est une application mobile de retouche de photos comptant entre 100 millions et
500 millions de téléchargements qui se classe en tête de ce groupe. Celle-ci permet
aux utilisateurs de partager des photos sur plusieurs réseaux sociaux et sites de
services de cloud. Fin janvier, McAfee Labs a utilisé CERT Tapioca pour tester la
version la plus récente de l'application téléchargée sur Google Play ; nous avons
pu intercepter des noms d'utilisateur et des mots de passe saisis dans l'application
pour se connecter au service de cloud afin de partager et de publier des photos :
Exemple de résultat de l'analyse par CERT Tapioca d'une application mobile vulnérable à la
recherche d'activité associée à des attaques MITM. Notez l'exposition du nom d'utilisateur
et du mot de passe (affichés au bas de l'écran).
Partager ce rapport
Points marquants
Une application mobile de météo du groupe présente le
même problème que l'application de retouche de photos
en cela que les informations d'identification susceptibles
d'interception appartiennent aux services web des
développeurs de l'application. En revanche, dans le cas
d'une application très populaire de gestion de fichiers pour
terminaux mobiles, les informations d'identification exposées
au grand jour pour cause de validation des certificats
numériques incorrecte ou inexistante appartenaient
à un service de cloud tiers, Microsoft OneDrive :
Sortie de CERT Tapioca montrant l'exposition d'informations d'identification Microsoft OneDrive par une application mobile de gestion
de fichiers vulnérable.
En réalité, les identifiants mis à découvert par cette
application peuvent être utilisés pour accéder non
seulement à Microsoft OneDrive, mais aussi à pratiquement
tout service Microsoft dans la mesure où l'auteur de
l'attaque aura accès au compte Microsoft de la victime.
Fort heureusement, il n'y a pas que de mauvaises nouvelles.
Dans le groupe des applications mobiles comptant plus de
10 millions de téléchargements, trois de celles identifiées
comme vulnérables par la CERT en août dernier ont été
corrigées. Elles affichent par ailleurs une erreur réseau
lors d'une tentative d'attaque MITM :
Exemples d'applications
mobiles dont les vulnérabilités
SSL/TLS ont été corrigées.
Partager ce rapport
Points marquants
Bien que ces avertissements ne puissent pas être considérés
comme la confirmation que des attaques MITM sont en
cours, ils peuvent constituer une sonnette d'alarme pour
l'utilisateur. En ce qui concerne le reste des applications
mobiles vulnérables téléchargées plus de 10 millions de fois,
leur évaluation nous a permis d'intercepter des informations
d'identification permettant d'usurper des identités pour deux
réseaux sociaux, d'accéder au tableau de bord parent d'une
de ces applications et de contrôler les listes de lecture de
vidéos et de musique d'une autre.
Dans le groupe des applications mobiles vulnérables avec
plus de cinq millions de téléchargements, trois d'entre elles
ont vu leurs vulnérabilités corrigées mais les cinq autres
demeurent à risque. Parmi ces dernières, deux sont pour
le moins insolites car, même sur les sites web qui utilisent
HTTPS, les informations d'identification sont envoyées
dans l'URL et peuvent donc être interceptées par simple
reniflage du trafic réseau. Une de ces applications transmet
à la fois le nom d'utilisateur et le mot de passe dans l'URL.
Cette application mobile transmet le nom d'utilisateur et le mot de
passe chiffré dans l'URL. Des outils de reniflage de paquets et de
craquage de mots de passage permettent aux auteurs d'attaques
d'intercepter les informations d'identification.
Même si le mot de passe intercepté est un hachage
cryptographique plutôt que le mot de passe à proprement
parler, ce dernier est relativement facile à obtenir grâce
à des attaques telles que les attaques par rainbow table
ou les attaques en force étant donné que la majorité des
utilisateurs emploient des mots de passe faibles.
L'autre application communique uniquement le nom
d'utilisateur dans l'URL, mais dans la mesure où la
validation du certificat du site web laisse à désirer,
McAfee Labs a quand même pu intercepter le mot
de passe.
Exemple d'application mobile qui transmet le nom d'utilisateur
dans l'URL et ne valide pas correctement le certificat numérique,
permettant ainsi de mettre la main sur les informations
d'identification à l'aide d'attaques MITM.
Partager ce rapport
Points marquants
Dans certains cas, les applications
mobiles vulnérables dévoilaient
les informations de connexion
à des services tiers populaires,
tels que Facebook, Instagram
et Microsoft OneDrive.
Notons également le cas d'une application sociale mobile, tout aussi intéressant
en cela qu'elle utilise la fonction d'authentification unique de Facebook pour se
connecter et proposer aux utilisateurs une nouvelle interface pour leur compte
Facebook. Cependant, comme le montre la capture d'écran ci-dessous, cette
application reste sujette à une validation incorrecte des certificats numériques ;
nous avons pu intercepter les informations d'identification Facebook :
Exposition des informations de connexion Facebook par cette application mobile en raison
d'une mauvaise validation du certificat numérique, qui ouvre la porte aux attaques MITM.
Une application de messagerie instantanée mobile présente le même problème.
Au lieu des informations d'identification Facebook, nous avons intercepté les
informations d'identification Instagram de la victime tant pour l'application
elle‑même que pour le service :
Partager ce rapport
Cette application mobile dévoile les informations d'identification Instagram et les expose
aux attaques MITM étant donné qu'elle ne valide pas correctement le certificat numérique.
Points marquants
Toujours dans le groupe des applications mobiles totalisant plus de cinq millions
de téléchargements, nous en avons épinglé une, axée sur les sports, qui fournit
du contenu gratuit, notamment l'actualité, les programmes des rencontres, les
scores et les statistiques. Elle permet également aux utilisateurs de suivre les
matchs en direct à condition d'acheter un abonnement pour la saison. Pour
avoir accès à cette fonction, l'utilisateur doit se connecter à l'aide d'un nom
d'utilisateur et d'un mot de passe pour le service, informations sur lesquelles
nous avons pu mettre la main :
Exemple d'une application mobile populaire associée aux sports qui met à découvert
les nom d'utilisateur et mot de passe.
Terminons par le groupe d'applications mobiles vulnérables comptant chacune
plus d'un million de téléchargements d'après Google Play. Sur les sept applications
qui le composent, seule une a été corrigée par son éditeur. Au moment de la
rédaction de ce rapport, les autres étaient toujours vulnérables. À l'instar des
autres applications analysées, celles qui appartiennent à ce groupe dévoilent
les informations d'identification émanant de services tiers et de réseaux sociaux,
tels qu'Instagram et Microsoft, ou appartenant à leurs propres systèmes et
services. Enfin, dans le cas d'une application de rencontres sur Internet, le
lancement d'une attaque MITM entraîne l'affichage de la notification suivante
à l'écran de l'utilisateur :
Cette application mobile vulnérable
détecte les réseaux non sûrs mais
offre à l'utilisateur la possibilité de
poursuivre en s'y connectant.
Partager ce rapport
Points marquants
À noter toutefois la présence de l'option « Trust this network » (Faire confiance
à ce réseau). Si l'utilisateur sélectionne cette option, l'attaque réussit :
Si l'utilisateur de cette application mobile vulnérable sélectionne l'option « Trust this
network », ses informations d'identification seront exposées à des attaques MITM.
Dans le Rapport de McAfee Labs sur le paysage des menaces — Novembre 2014,
nous signalions que le code source libre et disponible dans le commerce destiné
à la création de logiciels malveillants sur mobiles était en plein essor et que des
kits de génération de ce type de malware seraient prochainement proposés sur
le Web clandestin. Ces produits commercialisés sur le marché noir ouvrent grand
la porte aux voleurs et offriront sans nul doute aux cybercriminels un horizon
beaucoup plus large pour l'attaque des terminaux mobiles.
Ajoutez à cela notre prévision pour 2015 concernant la sécurité mobile et
l'exposition persistante d'applications populaires aux vulnérabilités SSL,
et les éléments sont réunis pour que le vol par des cyberpirates s'intensifie.
Addressing the problem
Lorsque des problèmes tels ceux soulevés par la CERT et Intel Security sont
corrigés à la source, c'est-à-dire dans le code des applications vulnérables,
la nouvelle est très positive pour l'ensemble de l'écosystème : éditeurs de platesformes mobiles, boutiques d'applications, fournisseurs de solutions de sécurité
et développeurs d'applications mobiles. Elle l'est cependant moins si ces correctifs
ne sont que partiels, comme dans le cas de l'application de rencontres mentionnée
précédemment, qui permet aux utilisateurs de « faire confiance à un réseau »,
jetant dès lors leurs informations d'identification en pâture aux pirates.
Et que faire lorsque les correctifs n'ont toujours pas été distribués ?
Comme avec la plupart des problèmes de sécurité, il est possible de prendre
certaines mesures. Cependant, il arrive parfois que nous soyons à la merci
d'autres facteurs, par exemple les développeurs d'applications, les mises
à jour d'applications ou encore les versions de système d'exploitation.
Points marquants
Découvrez comment Intel Security
peut vous aider à vous protéger
contre cette menace.
Commençons par les applications. En principe, nous recommandons de ne
télécharger que des applications qui sont bien connues, bénéficient d'évaluations
très positives et émanent de sources fiables (des éditeurs connus ou des boutiques
dignes de confiance comme Google Play). Force est toutefois de constater que ce
conseil ne suffit pas dans le cas qui nous occupe. De fait, toutes les applications
que nous avons passées au crible sont connues, bien cotées et proviennent de
sources dont la fiabilité ne fait pas de doute. Ces précautions n'en demeurent pas
moins pleines de bon sens. Si vous travaillez dans un environnement d'entreprise
où certaines applications sont fournies via une boutique d'applications interne,
contactez votre équipe informatique pour vous assurer que les applications sont
testées pour déceler la présence éventuelle de vulnérabilités telles que celles
décrites dans cet article.
On ne peut pas attendre des utilisateurs qu'ils installent des outils d'analyse
et qu'ils examinent le code pour déterminer leur exposition éventuelle à certains
risques. Vous pouvez néanmoins étudier de plus près une application et vous
poser certaines questions. Pourquoi vous oblige-t-elle à vous connecter ?
Quels sont ses avantages ou ses fonctions ? Les options proposées par
la « version professionnelle » valent-elles vraiment la peine de risquer la
compromission des données personnelles ? Réfléchissez à deux fois avant
d'accepter de vous connecter avec un compte de réseau social existant
par souci de facilité, car cela pourrait vous coûter plus cher que ne vous
l'imaginez. Lisez également la politique de confidentialité de l'application
pour obtenir des informations sur les données partagées et savoir à quelles
fins et de quelle manière elles le sont. En bref, il faut S'ARRÊTER ET RÉFLÉCHIR
AVANT DE SE CONNECTER.
La gestion des mots de passe est parfois pénible. Le jeu en vaut toutefois la
chandelle car en associant des identifiants de connexion uniques à à chaque
application, les risques sont réduits : une attaque MITM ne permettrait de
subtiliser que les informations d'identification de l'application concernée.
Vous pouvez gérer manuellement les informations d'identification uniques,
mais sachez qu'il existe des logiciels conçus pour automatiser la procédure.
Pour en savoir plus sur les applications vulnérables décrites ici et d'autres,
vous pouvez vous abonner aux mises à jour de l'équipe CERT ou d'Intel Security.
N'hésitez pas non plus à effectuer des recherches sur le Web lorsque vous
envisagez d'installer de nouvelles applications. Si certaines informations au
sujet d'une application vous préoccupent, optez pour une autre qui propose
des services similaires. Bien souvent, vous aurez l'embarras du choix !
Partager ce rapport
Points marquants
— Rajesh Nataraj KP
Un kit d'exploits est un package logiciel commercialisé sur le marché noir, permettant
d'élaborer facilement des attaques qui exploitent des vulnérabilités tant connues
qu'inconnues. Les cybercriminels ont recours aux kits d'exploits pour diffuser des
logiciels malveillants. Ces ensembles d'outils exploitent des vulnérabilités côté client,
ciblant principalement le navigateur web et les programmes accessibles par celuici. Les kits d'exploits peuvent enregistrer les statistiques d'infection et contrôler les
ordinateurs compromis à distance, dans le plus grand secret.
Le puissant kit d'exploits Angler
doit sa popularité à la facilité avec
laquelle il s'acquiert et s'utilise.
Les forces de l'ordre connaissent parfois des succès dans la lutte contre les
kits d'exploits. L'arrestation fin 2013 du pirate à l'origine de Blacole alors qu'il
connaissait ses heures de gloire est un de ces succès. Il n'a toutefois pas fallu
longtemps à la communauté des auteurs de malware pour jeter leur dévolu sur
le kit d'exploits Angler en vue de la diffusion de leurs charges actives. Au second
semestre 2014, Angler a attiré l'attention du secteur de la sécurité informatique
en raison de sa prévalence et des nouvelles fonctionnalités qu'il offrait.
Citons à ce titre l'infection sans fichier, la détection des machines virtuelles et
des produits de sécurité, ou encore sa capacité à distribuer un large éventail de
charges actives (chevaux de Troie bancaires et de type porte dérobée, rootkits,
logiciels de demande de rançon, CryptoLocker, etc.). Par ailleurs, la communauté
des chercheurs spécialisés dans les menaces a constaté qu'Angler était le
premier kit d'exploits à distribuer des logiciels de demande de rançon en
exploitant une vulnérabilité de Microsoft Silverlight.
De plus, Angler s'utilise facilement, sans nécessiter de compétences techniques
particulières, et est accessible sur les marchés clandestins du Web, raisons pour
lesquelles il compte désormais parmi les vecteurs les plus prisés de propagation
de logiciels malveillants.
Les kits d'exploits visent principalement les vulnérabilités présentes dans
Internet Explorer, Firefox et Chrome. Ils tirent également profit de failles
de programmes tels qu'Adobe Flash Player, Adobe Reader et Java.
Le graphique ci-après illustre les kits d'exploits les plus prévalents en 2014.
Prévalence des kits d'exploits en 2014
5% 1%
Angler
Sweet Orange
11 %
26 %
Flashpack
Magnitude
12 %
Rig
17 %
13 %
Neutrino
15 %
Partager ce rapport
Infinity
Styx
Source : McAfee Labs, 2015
Points marquants
Le graphique qui suit montre l'évolution du nombre de variantes de kits d'exploits
au cours de l'année écoulée.
Nombre de variantes de kit d'exploits
Variantes parmi les kits d'exploits en 2014
15
10
5
0
1er trim.
2e trim.
3e trim.
4e trim.
2014
Angler
Sweet Orange
Flashpack
Magnitude
Rig
Infinity
Neutrino
Styx
Concentrons-nous à présent sur le kit d'exploits le plus en vogue, Angler, et
examinons son fonctionnement, ses cibles, ses techniques de dissimulation
ainsi que les changements dont il a fait l'objet.
Angler, un bourreau de travail
Angler recourt à tout un éventail de
techniques de contournement pour
ne pas être repéré par les machines
virtuelles, les environnements
sandbox et les logiciels de sécurité.
Le kit d'exploits Angler fait preuve d'une activité effrénée : il modifie régulièrement
ses comportements et ses charges actives pour rester invisible des produits de
sécurité. Il présente plusieurs caractéristiques essentielles :
■■
■■
■■
■■
■■
■■
Il utilise deux niveaux de mécanismes de redirection avant d'atteindre
la page de destination.
Les serveurs web compromis qui hébergent la page de destination ne
sont accessibles qu'une seule fois à partir d'une même adresse IP. Il est
donc évident que les auteurs d'attaques surveillent activement les hôtes.
Il détecte la présence de machines virtuelles et de produits de sécurité
sur le système.
Son code contient des appels parasites et destinés à brouiller les pistes
pour que sa logique soit difficile à reconstituer.
Il chiffre toutes les charges actives au moment du téléchargement
et les déchiffre sur l'ordinateur compromis.
Il recourt à l'infection sans fichier (déploiement direct de la charge
active en mémoire).
Lorsqu'une victime potentielle accède à un serveur web compromis à l'aide
d'un navigateur vulnérable, ce serveur redirige la connexion vers un serveur
intermédiaire, qui lui-même la réoriente vers le serveur malveillant hébergeant
la page de destination du kit d'exploits. La page recherche ensuite la présence
de plug-ins (Java, ShockWave Flash et Silverlight) ainsi que les informations
de version. Si une version de navigateur ou de plug-in vulnérable est détectée,
l'hôte distribue la charge active et infecte le système.
Le schéma ci-après montre la chaîne d'infection complète.
Partager ce rapport
Points marquants
Chaîne d'infection du kit d'exploits Angler
Victime
1
2
Navigateur vulnérable
3
Mécanisme de redirection 1
Serveur compromis redirigeant les
connexions vers un serveur malveillant
4
Mécanisme de redirection 2
Hébergé soit sur un site Angler,
soit sur le serveur compromis
Serveur distribuant la page
du kit d'exploits Angler
5
NON
6
Système compromis
Serveur distribuant les exploits et
les charges actives malveillantes
Recherche de machines
virtuelles et de produits
de sécurité
OUI
Fin de la procédure avec une
erreur d'exception JavaScript
Partager ce rapport
Points marquants
Reconnaissance
Le kit d'exploits Angler inspecte le système cible pour pouvoir distribuer la page
de destination et la charge active adéquates.
■■
■■
Dans les informations d'agent utilisateur, il vérifie le nom et la version
du navigateur ainsi que le système d'exploitation.
Il identifie les plug-ins de navigateur vulnérables installés et leur version.
Une fois les composants de navigateur vulnérables déterminés, la page de
destination d'Angler exécute le code malveillant de manière à déployer l'exploit.
Angler comporte plusieurs exploits, qu'il distribue dynamiquement en fonction
de l'application vulnérable. Il est en mesure d'exploiter plusieurs vulnérabilités
d'Internet Explorer :
■■
■■
■■
■■
CVE-2013-2551 — Cible le navigateur Internet Explorer pour
permettre une corruption de la mémoire à l'aide d'objets de
forme VML (Vector Markup Language).
CVE-2013-0074 — Tire parti d'un déréférencement double
dans Silverlight.
CVE-2013-2465 — Cible l'environnement d'exécution Java.
CVE-2014-0515 — Cible Adobe Flash Player.
Code du kit d'exploits Angler révélant différentes vulnérabilités qu'il permet d'exploiter
Points marquants
Distribution
Les serveurs compromis ou malveillants distribuent les exploits et les charges
actives malveillantes sur les systèmes des victimes. Les pirates optent pour
la méthode de distribution via des URL mal formées, qui constituent des
« campagnes ». Les variations constatées au niveau des campagnes ou modèles
d'URL suggèrent que des groupes cybercriminels différents en sont à l'origine.
Dans le cas d'Angler, on a observé deux types de campagnes en circulation. Leur
classification, réalisée sur la base des domaines de distribution, donne à penser
que plusieurs groupes cybercriminels utilisent massivement le kit d'exploits :
■■
■■
Une campagne utilisant une page de destination normale du kit
d'exploits, dépourvue de modèle spécifique
Une autre employant une page de destination dont l'URL utilise
le format 32 x 32 caractères pour la partie « gate »
––[Domaine.Malveillant/[a-f0-9]{32}.php?q=[a-f0-9]{32}]
Exploitation
Divers mécanismes de dissimulation sont intégrés dans une page de destination
type du kit d'exploits Angler afin de donner du fil à retordre aux chercheurs
spécialisés en menaces lors de l'ingénierie inverse. Le code de la page inclut
également du contenu servant d'artifice conçu pour berner les dispositifs
de détection. L'image ci-dessous illustre une page de destination contenant
le code d'exploit.
Page de destination du kit d'exploits
Le contenu chiffré figure dans la balise HTML <p>, qui définit un paragraphe
et prend également en charge des attributs globaux. Il est stocké au sein de
plusieurs balises <p> sur la page de destination.
Le script de la page de destination employé pour déchiffrer le contenu présent
dans la balise <p> est brouillé et compressé dans un format incohérent.
Compte tenu de la présence de variables aléatoires, de chaînes de séparation
et de fonctions parasites, la détection relève du tour de force.
Partager ce rapport
Points marquants
Page de destination recourant à la dissimulation
La logique de déchiffrement de la page de destination est
assez simple. Le chiffre de substitution est appliqué pour
remplacer le contenu chiffré par le contenu déchiffré.
Dans l'exemple qui précède, une clé composée de
20 caractères est scindée et sa séquence de caractères
est stockée dans un tableau. Ces caractères sont ensuite
triés par ordre croissant et stockés dans un autre tableau.
Ensuite, un script de la page de destination utilise la
méthode IndexOf () pour comparer les deux tableaux
et générer un chiffre. Pour ce faire, la méthode recherche
les caractères spécifiés dans les tableaux et renvoie leurs
positions. Celles-ci constituent le chiffre qui va déterminer
le décalage à appliquer pour déchiffrer le contenu chiffré.
Le contenu déchiffré contient encore de nombreuses
fonctions qui utilisent des algorithmes de substitution
similaires pour générer des URL d'exploit, des paramètres
et des informations de charge active.
Partager ce rapport
Points marquants
Vérification des mécanismes de défense
Angler utilise le protocole RES:// ou la méthode du contrôle ActiveX Microsoft
XMLDOM pour identifier les fichiers d'un répertoire système. Il vérifie également si
des produits de sécurité ou des machines virtuelles sont installés sur le système.
Une technique d'évitement des machines virtuelles empêche l'infection de ces
dernières et permet le contournement des environnements d'analyse automatisés.
Angler recherche différents fichiers, dont les suivants :
■■
■■
■■
■■
■■
Un plug-in de clavier virtuel (pour identifier les logiciels Kaspersky)
tmactmon.sys, tmevtmgr.sys, tmeext.sys, tmnciesc.sys, tmtdi.sys,
tmcomm.sys et tmebc32.sys (Trend Micro)
vm3dmp.sys, vmusbmouse.sys, vmmouse.sys et vmhgfs.sys (VMware)
vboxguest.sys, vboxmouse.sys, vboxsf.sys et vboxvideo.sys
(VM VirtualBox)
prl_boot.sys, prl_fs.sys, prl_kmdd.sys, prl_memdev.sys, prl_mouf.sys,
prl_pv32.sys, prl_sound.sys, prl_strg.sys, prl_tg.sys et prl_time.sys
(virtualisation Parallels Desktop)
Installation des charges actives
Une fois la faille exploitée, la méthode d'infection est choisie en fonction des
applications vulnérables identifiées au sein du navigateur. Dans le cas d'Angler,
deux méthodes d'infection ont été observées :
■■
Dès lors qu'Angler détecte des
vulnérabilités, il peut distribuer
des charges actives toujours plus
nombreuses. Certains logiciels
malveillants peuvent être placés
directement en mémoire, ce qui
les rend plus difficiles à détecter.
■■
Infection sans fichier — Angler recourt à une nouvelle technique
consistant à injecter la charge active directement dans la mémoire
du programme exploité en créant une nouvelle thread dans le
processus de celui-ci. De cette façon, il n'a pas à écrire le fichier sur
le disque, ce qui réduit la probabilité qu'il soit détecté par les logiciels
de sécurité. Cette charge active peut ensuite télécharger d'autres
logiciels malveillants.
Téléchargement direct de charges actives chiffrées — Les charges
actives hébergées sur le serveur malveillant sont chiffrées en
binaire (XOR) au moyen d'une clé de 8 octets. Au terme de la phase
d'exploitation, ces charges actives chiffrées sont téléchargées sur
l'ordinateur ciblé, où elles sont ensuite déchiffrées et exécutées.
Partager ce rapport
Points marquants
■■
■■
■■
■■
■■
■■
Andromeda
Cryptowall
Necurs
Simda
Vawtrak
Zbot
La diversité des charges actives
distribuées par ce kit d'exploits
témoigne de son utilisation
massive par différentes
communautés de pirates.
Charges actives distribuées par le kit d'exploits Angler en 2014
Nombre de variantes de charges actives distribuées
Le graphique ci-contre montre les
familles de logiciels malveillants
courantes distribuées au moyen
d'Angler. Cet article ne traite
pas de ces charges actives,
déjà étudiées ailleurs.
20
15
10
5
0
1er trim.
2e trim.
3e trim.
4e trim.
2014
Zbot
Simda
Vawtrak
Ransomware
Necurs
Autres
Modifications du kit d'exploits Angler en 2014
• Détection d'une page de renvoi utilisant le format de porte 32x32
• Redirection vers une adresse IP Angler et informations utilisateur
• Chiffrement en binaire (XOR) conjoint
du shellcode et de la charge active
• Reconnaissance de VMware et des
produits de sécurité
1er trim. 2014
2e trim. 2014
• Utilisation d'exploits visant Silverlight répertoriés
dans CVE-2013-0074
• Chiffrement XOR des charges actives
• Exploits ciblant le navigateur Internet Explorer
répertoriés dans CVE-2013-2551
• Ajout de l'exploit pour Flash identifié
dans CVE-2013-5330
3e trim. 2014
4e trim. 2014
Technique d'infection
sans fichier
Partager ce rapport
Points marquants
Pratiques sûres
Voici quelques mesures recommandées pour protéger les systèmes contre le kit
d'exploits Angler :
■■
■■
■■
■■
■■
Faites appel à un fournisseur d'accès Internet attentif à la sécurité
qui met en œuvre des procédures strictes en matière de lutte contre
le spam et le phishing.
Activez les mises à jour automatiques de Windows ou téléchargez
régulièrement les mises à jour de Microsoft afin que vos systèmes
d'exploitation bénéficient en permanence des derniers patchs requis
pour corriger leurs vulnérabilités connues. Installez les patchs d'autres
éditeurs de logiciels dès qu'ils sont disponibles. Doter son ordinateur
de tous les patchs nécessaires et le protéger au moyen d'un pare-feu
constitue la meilleure approche pour se prémunir contre les logiciels
espions (spyware) et les chevaux de Troie.
Soyez extrêmement prudent au moment d'ouvrir des pièces jointes.
Configurez votre logiciel antivirus pour qu'il analyse automatiquement
tous les fichiers joints aux e-mails et aux messages instantanés.
Vérifiez que l'ouverture des pièces jointes ne soit pas automatique
dans vos programmes de messagerie, pas plus que l'affichage des
images. Assurez-vous par ailleurs que le volet d'aperçu est désactivé.
N'ouvrez jamais des e-mails non sollicités ou des fichiers joints que
vous n'attendez pas, même s'ils proviennent de personnes que
vous connaissez.
Méfiez-vous des escroqueries par phishing utilisant le spam. Ne cliquez
pas sur les liens figurant dans les e-mails ou les messages instantanés.
Utilisez un plug-in de navigateur pour bloquer l'exécution des scripts
et des balises iFrame.
Partager ce rapport
Points marquants
Cinquante nuances de « gris » :
l'univers complexe des programmes
— Arun Pradeep
Situés aux frontières entre la simple
nuisance et le logiciel malveillant,
les programmes potentiellement
indésirables (PUP) se font
cependant toujours plus agressifs.
Nous partons du principe que tous les logiciels malveillants sont néfastes et
devraient figurer sur liste noire. Une catégorie de logiciels malveillants demeure
toutefois difficile à classer et à combattre : les programmes potentiellement
indésirables ou PUP (Potentially Unwanted Programs), qui ne sont pas toujours
animés de mauvaises intentions. Ainsi, les logiciels publicitaires (adware),
les logiciels espions (spyware) et autres types d'applications non destructrices sont
généralement considérés comme des programmes potentiellement indésirables.
Ceux-ci se situent dans une « zone grise » dans la mesure où, à côté du risque qu'ils
posent, ils présentent souvent un intérêt pour l'utilisateur. Si les développeurs
ont parfois une explication raisonnable pour justifier leur création, force est de
constater que ces programmes présentent des comportements très variables,
tantôt relativement bénins, tantôt plutôt malveillants. McAfee Labs examine de très
près les PUP afin de déterminer leurs desseins et d'aider les clients à les éradiquer.
Toute application présentant un risque sous-jacent tangible pour l'utilisateur,
aussi avantageuse soit-elle pour ce dernier, peut être assimilée à un programme
potentiellement indésirable. Les applications n'informent généralement pas les
utilisateurs du risque encouru. Contrairement aux chevaux de Troie, aux virus,
aux rootkits et autres formes de malware, les programmes potentiellement
indésirables n'ont généralement pas pour fonction de subtiliser les identités
d'utilisateurs et les informations d'identification bancaires ni d'altérer les fichiers
système. Une application peut être considérée comme un PUP ou programme
potentiellement indésirable dès lors qu'elle présente les comportements suivants :
■■
■■
■■
■■
■■
■■
Modification non autorisée des paramètres système (configuration du
navigateur, par exemple)
Dissimulation d'un programme non sollicité au sein d'une
application légitime
Collecte secrète d'informations sur les utilisateurs, les habitudes
de navigation et la configuration système
Dissimulation de l'installation d'une application
Désinstallation complexe
Distribution par le biais de publicités déroutantes ou trompeuses
Points marquants
En fonction de leur comportement, nous distinguons
plusieurs sous-catégories de programmes
potentiellement indésirables :
■■
■■
■■
■■
■■
■■
Logiciels publicitaires : distribuent des publicités
principalement par le biais des navigateurs.
Craqueurs de mot de passe : affichent les mots
de passe secrets des applications.
Outils d'administration à distance (RAT) :
surveillent les activités des utilisateurs sur les
machines infectées ou permettent le contrôle
à distance du système à l'insu de l'utilisateur
ou sans son consentement.
Générateurs de clés : génèrent des clés de
produits pour des applications légitimes.
Outils de piratage de navigateurs : modifient la
page d'accueil ou de recherche, les paramètres
du navigateur, etc.
■■
■■
Outils de piratage : applications autonomes
pouvant faciliter les intrusions système ou
les fuites de données stratégiques.
Proxys : redirigent ou dissimulent des
informations liées aux adresses IP.
Outils de suivi : logiciels espions (spyware)
ou enregistreurs de frappe qui enregistrent
les frappes de l'utilisateur, journalisent ses
communications personnelles, surveillent
ses activités en ligne ou capturent des
écrans à son insu.
Le tableau suivant présente les principales différences
entre les PUP et les autres logiciels malveillants (chevaux
de Troie, ransomware, robots et virus, par exemple) :
Programme potentiellement
indésirable (PUP)
Autre logiciel malveillant : cheval de Troie,
virus, robot, etc.
Méthode
d'installation
Procédure d'installation standard, parfois
accompagnée d'un accord de licence utilisateur
final. L'installation complète sur un système
nécessite souvent l'aval et l'intervention
de l'utilisateur.
Installation autonome sans aucune intervention
de l'utilisateur. Ce type de logiciel opère pour
l'essentiel de manière totalement indépendante.
Présentation
Associé à une application légitime et installé
clandestinement en même temps que celle-ci.
Fichier autonome avec peu de composants
supplémentaires. Ne se présente pas sous
la forme d'un programme d'installation.
Désinstallation
Le package contient parfois un programme
de désinstallation permettant sa suppression.
La procédure de désinstallation est
souvent complexe.
Les fichiers exécutables compliquent la
suppression du logiciel malveillant en raison
d'imbrications dans d'autres processus, handles
ou identifiants de processus et d'autres liens
complexes. Comme il ne s'agit pas de packages
d'installation, ces fichiers n'apparaissent pas
dans le Panneau de configuration.
Comportement
Affiche des publicités indésirables et des
fenêtres au-dessus (pop-up) ou en dessous
(pop-under) de la fenêtre active. Modifie les
paramètres du navigateur, collecte des données
sur l'utilisateur et le système ou permet le
contrôle à distance du système à l'insu de
l'utilisateur ou sans son consentement.
Dérobe des informations d'identification
personnelle ou des données bancaires,
modifie les fichiers système, rend le système
inutilisable, réclame une rançon, etc.
Furtivité
Son comportement n'est généralement pas furtif.
Peut dissimuler des fichiers, des dossiers,
des entrées de Registre et du trafic réseau.
Techniques
Partager ce rapport
Points marquants
Propagation
Les campagnes de phishing, le piratage de l'optimisation des moteurs de
recherche, l'exploitation de serveurs web vulnérables et les robots sont
quelques-unes des techniques utilisées par les cybercriminels pour distribuer
leurs logiciels malveillants. La propagation des PUP se fait quant à elle
généralement en abusant la confiance d'utilisateurs innocents, ainsi qu'expliqué
dans le Rapport de McAfee sur le paysage des menaces — Novembre 2014.
Les techniques de distribution de PUP les plus courantes sont les suivantes :
■■
■■
■■
■■
■■
■■
■■
Exploitation malveillante et secrète d'applications légitimes
Ingénierie sociale
Vente de mentions J'aime Facebook
Publication de messages frauduleux sur Facebook
Piratage de Google AdSense
Extensions et plug-ins de navigateur non prévus
Installation forcée en même temps que des applications légitimes
Régulation difficile
Même si les programmes potentiellement indésirables ne recourent pas à des
tactiques de contournement complexes telles que la compression personnalisée,
le chiffrement, la détection des machines virtuelles et d'autres comportements
furtifs fréquemment utilisés par les chevaux de Troie et les virus, cela ne les
empêche pas d'échapper aux mécanismes de détection de divers produits
de sécurité. Mais au vu de leur manque de complexité, comment expliquer
que ces programmes soient si difficiles à réguler ?
Les techniques de propagation en apparence innocentes mises au point par les
auteurs de PUP leur permettent de passer outre divers dispositifs de sécurité
(prévention des intrusions réseau, pare-feu, antimalware) pour atteindre leurs
cibles, y compris au sein des entreprises. Les PUP n'ont pas besoin de faire
preuve de furtivité pour contourner les contrôles de sécurité car ils sont associés
à des applications légitimes et parfois installés avec le concours involontaire
des utilisateurs. Ces applications sont même parfois dotées d'une signature
numérique afin de s'introduire dans les systèmes.
Les chercheurs spécialisés dans les menaces n'ont aucun mal à reconstituer
la logique des fichiers afin de déterminer s'ils sont en présence de chevaux
de Troie, de virus ou de robots car ils affichent un comportement malveillant
dès qu'ils sont soumis à une analyse dynamique ou statique ou à l'ingénierie
inverse. En revanche, les programmes potentiellement indésirables n'affichent
généralement pas de telles caractéristiques. Ils adoptent un comportement
similaire aux programmes légitimes, ce qui leur vaut d'être considérés comme
des fichiers inconnus ou « gris » par la communauté des experts en sécurité.
Ce comportement a pour effet de compliquer leur classification par les
chercheurs en tant que PUP ou en tant que fichiers légitimes.
Longtemps, les PUP ont été perçus comme des menaces non critiques et n'ont
pas suscité d'inquiétude particulière dans le chef des éditeurs de solutions de
sécurité. Leur agressivité s'est toutefois considérablement renforcée.
Points marquants
Logiciels publicitaires abusifs
De toutes les catégories de PUP, les logiciels publicitaires sont ceux qui ont le plus
attiré l'attention des éditeurs de solutions de sécurité, non pas pour le dérangement
qu'ils occasionnent mais pour la manière dont ils abusent la confiance.
Les PUP, en particulier les logiciels
publicitaires, sont de plus en plus
agressifs, invasifs et difficiles
à éradiquer.
Les logiciels publicitaires ont peaufiné leurs tactiques et mettent en œuvre
diverses techniques pour assurer leur persistance sur les systèmes infectés,
dont les suivantes :
■■
■■
■■
■■
■■
■■
■■
■■
■■
Exécution d'un processus autonome dans la mémoire
Fichiers DLL de type COM (Component Object Model) et non COM
avec fonctions spécialement conçues pour l'application
Clés de Registre d'objets d'aide à la navigation (BHO, Browser
Helper Object)
Fichiers DLL accrochés à des processus système
Extensions et plug-ins de navigateur
Services système enregistrés
Composants de pilotes de périphérique exécutant des fonctions
de contrôle des équipements
Pilotes de filtre de bas niveau
Chevaux de Troie distribués sous forme de charge active
Les zones rouges dans le graphique suivant illustrent les différents vecteurs
ciblés par les PUP à divers niveaux de Microsoft Windows.
MODE UTILISATEUR
Points de chargement de logiciels publicitaires sur Microsoft Windows
Fichier sur disque
Extensions de navigateur Plug-ins multiplate-formes
Services système
MODE NOYAU
NTDLL.DLL
Pilotes de périphérique
Threads
Mémoire virtuelle
NOYAU
Partager ce rapport
Points marquants
Tendances en matière de PUP
Nombre de signalements de PUP par des entreprises
Au troisième trimestre, McAfee
Labs a observé un grand nombre
de signalements de programmes
potentiellement indésirables
recourant aux techniques
des logiciels publicitaires.
Les principales applications
étaient OutBrowse, SearchSuite,
SearchProtect et BrowseFox.
700
600
500
400
300
200
100
0
1er trim. 2014
2e trim. 2014
3e trim. 2014
4e trim. 2014
2014
Signalements de PUP transmis à McAfee Labs par des entreprises clientes en 2014
Prévalence des PUP sur Microsoft Windows
Janvier
SafeSurf
Extracteur
de bitcoins
Amonetize
Mars
HideWindow
BetterInstaller
Bprotect
1er trim. 2014
Février
SafeSurf
OpenCandy
Bprotect
BetterSurf
NewNext
Mai
OutBrowse
MultiDropper
Crossrider
AddLyrics
NewNext
Juillet
BrowseFox
SearchProtect
SearchSuite
DealPly
CoinMiner
OneInstaller
2e trim. 2014
Avril
OutBrowse
MultiDropper
Bprotect
Crossrider
AddLyrics
Juin
BrowseFox
PriceMeter
SearchSuite
Bprotect
OneInstaller
AddLyrics
Septembre
BrowseFox
SearchSuite
Crossrider
Amonetize
OpenCandy
ShopperPro
3e trim. 2014
Août
BrowseFox
SearchSuite
Crossrider
Amonetize
AddLyrics
Novembre
BrowseFox
SearchSuite
Crossrider
DealPly
AddLyrics
4e trim. 2014
Octobre
BrowseFox
SearchSuite
Crossrider
WebProtect
iBryte
RocketTab
DealPly
AddLyrics
Décembre
BrowseFox
SearchSuite
Crossrider
Partager ce rapport
Points marquants
Principaux logiciels publicitaires
Familles de logiciels publicitaires les plus répandues en 2014 :
■■
■■
■■
■■
■■
Adware-BrowseFox
Adware-SearchSuite
Adware-SearchProtect
Adware-iBryte
PUP utilisant le cadre Crossrider
Utilisé par les développeurs pour concevoir des plug-ins
de navigateurs multiplate-formes, le cadre Crossrider est
désormais manipulé par certains logiciels publicitaires,
qui se servent de son API pour transférer en secret des
publicités aux machines ciblées. Il s'agit là d'une autre
astuce utilisée par les auteurs d'adware pour échapper
à la détection des produits de protection des terminaux.
Après Windows, les PUP s'attaquent à Apple
BrowseFox exécute deux services sur le système infecté, qui
se connectent tous deux à des serveurs distants au moyen
de ports TCP et UDP. Contrairement aux connexions UDP,
les connexions TCP garantissent la remise des paquets, de
sorte que les données transférées depuis le serveur distant
atteignent immanquablement l'ordinateur de la victime.
Les services système de ce logiciel publicitaire permettent
au programme de s'exécuter en continu sur les machines
infectées, même en cas de redémarrage.
L'analyse du logiciel publicitaire SearchSuite réalisée par
McAfee Labs en 2014 a mis en évidence le comportement
extrêmement agressif de ce programme. En plus d'intégrer
un package d'installation complet, des composants de
navigateur et des services système, SearchSuite utilise les
API de contrôle des équipements de Windows pour prendre
le contrôle des pilotes de périphérique. Ce comportement
particulier met au défi les méthodes de détection utilisées
par les produits de sécurité. Ces composants s'insinuent
au plus profond du mode noyau et créent des pilotes de
filtres de bas niveau, qui sont généralement utilisés par les
applications pour interagir avec des équipements matériels.
Si les chevaux de Troie ont encore du mal à atteindre
les systèmes Apple, ce n'est pas le cas de familles de
programmes potentiellement indésirables telles que
Bundlore, Aobo KeyLogger, Ginieo et SearchProtect, qui
ont réussi à infecter les Mac. Plus de 70 % des logiciels
malveillants détectés sur les Mac relèvent de la catégorie
des PUP. S'il a fallu attendre 2012 pour observer les
premiers logiciels publicitaires sur les Mac, ceux-ci sont
aujourd'hui infectés par de nombreux programmes
potentiellement indésirables.
De même que pour Windows, les PUP ciblant les Mac
sont associés à des applications légitimes, telles que des
convertisseurs vidéo, des téléchargeurs YouTube et bien
d'autres. Une fois installés sur le Mac de leur victime, les
logiciels publicitaires épient les habitudes de navigation de
l'utilisateur pour ensuite distribuer des publicités conçues
en conséquence.
Prévalence des programmes PUP sur les Mac Apple
Septembre
Vsearch
Yontoo
Aobo KeyLogger
Xforce (craqueur Adobe)
3e trim. 2014
Octobre
FkCodec
Crossrider
Genieo
Bundlore
Zako
Ventir
Novembre
NetWeird
OpinionSpy
SearchProtect
Puper
Rlogger
CoinMiner
Décembre
Genieo
Spigot
Backtrack
Refog
Yontoo
CoinMiner
4e trim. 2014
Partager ce rapport
Points marquants
Examinons une journée dans la vie des programmes potentiellement indésirables.
La carte suivante dresse un état des lieux des données télémétriques recueillies
sur le terrain par McAfee Labs sur une période de 24 heures :
Sources de PUP au cours d'une période échantillon de 24 heures
Comparaison entre les occurrences de PUP et des
autres principaux logiciels malveillants en 24 heures
Programmes
potentiellement
indésirables
(PUP)
6%
Autres logiciels
malveillants
94 %
Plus de 300 000 adresses IP
individuelles présentaient
des composants adware
s'exécutant sur l'hôte.
Des PUP ont été distribués dans
170 pays et principalement
aux États-Unis.
1,5 million de postes uniques
ont été infectés par des PUP.
373 000 hachages uniques
intégrant des composants
PUP ont été détectés sur
les machines des clients.
Sur les 50 principales familles de malware
surveillées au cours de cette période, les
PUP dominaient largement, avec 94 %
des occurrences totales.
■■
■■
■■
■■
Partager ce rapport
Points marquants
Au cours d'une période de 24 heures type, McAfee détecte des PUP sur plus
de 91 millions de systèmes.
Famille de PUP
Adware-BrowseFox
Nombre de détections signalées
en 24 heures
86 683 015
Adware-BProtect
2 063 861
Adware-SearchSuite
1 133 810
PUP-MultiPlug
314 634
PUP-SoftPulse
209 813
Adware-iBryte
73 381
PUP-Crossrider
41 547
PUP-ShopperPro
33 382
Détections d'autres PUP
1 102 919
McAfee Labs a observé plus de 9 milliards d'échantillons de PUP en 2014.
Les classements de Google, source d'enrichissement
Tout comme les optimisateurs de moteurs de recherche (SEO, Search Engine
Optimizers) s'efforcent d'améliorer les classements des sites pour gagner plus sur
Google AdSense, les auteurs de PUP font de même avec les logiciels publicitaires
en utilisant des raccourcis. Après avoir introduit des logiciels publicitaires sur les
machines des victimes, les serveurs distants se connectent en secret par le biais de
publicités piratées afin d'accroître le nombre de visites et ainsi élever le classement
d'un site. Pour augmenter les chances de clics, les publicités distribuées aux
machines compromises sont adaptées en fonction des centres d'intérêt des
victimes. Des classements supérieurs permettent aux sites web d'apparaître
en meilleure position dans les résultats de recherche Google avec, à la clé,
une augmentation des revenus tirés des publicités.
Une fois qu'un adware s'est propagé à des milliers de machines, ses fonctionnalités
de clics de redirection et de piratage entrent en jeu, transformant l'application
publicitaire elle-même en vecteur d'infection.
Points marquants
Des stratégies agressives pour contenir les PUP
Pour permettre la classification
systématique des PUP, McAfee
Labs a mis au point une stratégie
spécifique, qui est actualisée
à mesure que les tactiques des
auteurs de malware évoluent.
Compte tenu du flou qui entoure certains fichiers PUP et des difficultés que
pose leur classification, nombreux sont les éditeurs de solutions de sécurité
qui développent des stratégies en la matière pour permettre aux chercheurs
en menaces de classer ces programmes de manière plus systématique.
Une stratégie en matière de PUP est un document qui fixe les règles
d'évaluation, de classification et de détection de ces programmes.
McAfee Labs revoit régulièrement sa stratégie dans ce domaine afin de l'adapter
aux modifications introduites par les développeurs de programmes PUP.
Pour aider les chercheurs de McAfee Labs à déterminer si des fichiers sont
des programmes potentiellement indésirables, notre stratégie la plus récente
s'appuie sur les critères suivants :
■■
■■
■■
■■
■■
La valeur qu'offre la technologie à l'utilisateur
Le risque que présente la technologie pour l'utilisateur
Le contexte de la technologie ou du composant
La source ou le mode de distribution de la technologie
La prévalence des abus par rapport à l'utilisation légitime
de la technologie
Les chercheurs de McAfee Labs examinent ensuite les points suivants :
■■
■■
■■
L'information donnée à l'utilisateur quant aux risques posés par
le logiciel
Le degré de consentement demandé à l'utilisateur vis-à-vis du
comportement du logiciel
Le degré de contrôle de l'utilisateur sur l'installation, le fonctionnement
et la suppression du logiciel
L'équipe de McAfee Labs passe au crible l'ensemble des fichiers d'un PUP à la
recherche du programme d'installation principal. Elle reproduit l'installation
en interne, de façon à permettre au programme d'installation de télécharger
le package complet. Elle soumet ensuite ces téléchargements à une analyse
approfondie et utilise la dernière stratégie en date en matière de PUP pour
déterminer si l'application est légitime ou potentiellement indésirable.
Dès lors qu'une application est classée en tant que PUP, les utilisateurs
peuvent configurer leurs produits de protection des terminaux de façon
à la bloquer ou à l'autoriser. Vous trouverez des conseils de configuration
des terminaux en matière de programmes potentiellement indésirables ici.
Partager ce rapport
Logiciels
malveillants
sur mobiles
Logiciels
malveillants
Menaces web
Donner votre avis
Menaces ciblant
la messagerie
et les réseaux
Logiciels malveillants sur mobiles
Nouveaux logiciels malveillants sur mobiles
900 000
800 000
700 000
600 000
500 000
400 000
300 000
200 000
100 000
0
1er trim. 2e trim. 3e trim.
2013
4e trim.
1er trim.
2e trim. 3e trim.
2014
4e trim.
Nombre total de logiciels malveillants sur mobiles
7 000 000
La collection de logiciels
malveillants sur mobiles
de McAfee Labs a continué
d'augmenter régulièrement,
pour dépasser les 6 millions
d'échantillons au 4e trimestre,
soit 14 % de plus qu'au
3e trimestre.
6 000 000
5 000 000
4 000 000
3 000 000
2 000 000
1 000 000
0
1er trim.
2e trim. 3e trim.
2013
4e trim.
1er trim.
2e trim. 3e trim.
2014
4e trim.
Partager ce rapport
Taux d'infection par des logiciels malveillants
sur mobiles au niveau mondial
30 %
Le taux d'infection par des
logiciels malveillants sur mobiles
présente de grandes variations
au fil du temps, mais demeure
relativement imposant, avec au
moins 8 % de tous les systèmes
atteints par une infection signalée
depuis le 4e trimestre 2013.
La hausse, puis la chute successive
depuis le 4e trimestre 2013 sont
essentiellement dues à la détection
d'un réseau publicitaire unique,
AirPush, considéré comme un
programme potentiellement
indésirable (PUP), à l'instar de
nombreux réseaux publicitaires.
25 %
20 %
15 %
10 %
5%
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
4e trim.
2014
Taux d'infection par des logiciels malveillants
sur mobiles par région — 4e trim. 2014
Pour ce rapport sur le paysage
des menaces, nous avons examiné
les données qui nous ont été
communiquées par des terminaux
mobiles sur lesquels sont installées
des solutions McAfee de protection
pour mobiles. Ces informations
émanent de millions de terminaux
mobiles à travers le monde.
Le taux d'infection correspond
à la mesure proportionnelle du
temps pendant lequel un type
quelconque de malware a séjourné
sur un équipement mobile chargé
de lui transmettre des données,
suivant les détection effectuées
par McAfee Labs.
12 %
10 %
8%
6%
4%
2%
0
Afrique
Asie
Australie
Europe
Amérique
du Nord
Amérique
du Sud
Partager ce rapport
Logiciels malveillants
Nouveaux logiciels malveillants
60 000 000
On enregistre 387 nouvelles
menaces par minute, soit plus
de 6 par seconde.
50 000 000
40 000 000
30 000 000
20 000 000
10 000 000
0
2013
4e trim.
1er trim.
2e trim. 3e trim.
2014
4e trim.
Nombre total de logiciels malveillants
400 000 000
Le nombre total de logiciels
malveillants de la collection de
McAfee Labs a augmenté de
17 % entre les 3e et 4e trimestres.
À ce rythme, elle contiendra plus
d'un demi-milliard d'échantillons
d'ici le 3e trimestre 2015.
350 000 000
300 000 000
250 000 000
200 000 000
150 000 000
100 000 000
50 000 000
0
2013
4e trim.
1er trim.
2e trim. 3e trim.
2014
4e trim.
Partager ce rapport
Nouveaux logiciels de demande de rançon (ransomware)
400 000
Au 3 trimestre, le nombre
de nouveaux échantillons de
ransomware est reparti à la
hausse après quatre trimestres
de déclin. Au 4e trimestre, ce
nombre a progressé de 155 %.
On dénombre aujourd'hui plus
de deux millions d'échantillons
de ransomware.
e
350 000
300 000
250 000
200 000
150 000
100 000
50 000
0
2013
4e trim.
1er trim.
2e trim. 3e trim.
2014
4e trim.
Nombre total de logiciels de demande de rançon
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
2013
4e trim.
1er trim.
2e trim. 3e trim.
2014
4e trim.
Partager ce rapport
Nouveaux logiciels malveillants de type rootkit
120 000
100 000
80 000
60 000
40 000
20 000
0
2013
4e trim.
1er trim.
2e trim. 3e trim.
2014
4e trim.
Nombre total de logiciels malveillants de type rootkit
1 600 000
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
2013
4e trim.
1er trim.
2e trim. 3e trim.
2014
4e trim.
Partager ce rapport
Nouveaux fichiers binaires signés malveillants
3 000 000
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
2013
4e trim.
1er trim.
2e trim. 3e trim.
2014
4e trim.
Nombre total de fichiers binaires signés malveillants
18 000 000
Après une brève chute des
nouveaux fichiers binaires
malveillants signés, la tendance
est repartie à la hausse, avec
une augmentation de 17 %
au 4e trimestre.
16 000 000
14 000 000
12 000 000
10 000 000
8 000 000
6 000 000
4 000 000
2 000 000
0
2013
4e trim.
1er trim.
2e trim. 3e trim.
2014
4e trim.
Partager ce rapport
Menaces web
Nouvelles URL suspectes
35 000 000
Le nombre de nouvelles URL
suspectes a explosé au 3e trimestre.
Cette hausse s'explique en partie
par la multiplication par deux du
nombre de nouvelles URL courtes,
qui dissimulent souvent des sites
web malveillants, ainsi que par
une augmentation marquée des
URL de phishing. Au 4e trimestre,
le rythme d'apparition de nouvelles
URL suspectes est revenu à un
niveau habituel.
30 000 000
25 000 000
20 000 000
15 000 000
10 000 000
5 000 000
0
1er trim.
2e trim.
3e trim.
2013
URL
4e trim.
1er trim.
2e trim.
3e trim.
2014
Domaines associés
4e trim.
Emplacement des serveurs hébergeant du contenu suspect
3%
1%
Moins de 1 %
15 %
46 %
35 %
Amérique du Nord
Europe et
Moyen-Orient
Asie/Pacifique
Amérique latine
Australie
Afrique
Partager ce rapport
Nouvelles URL de phishing
3 000 000
Nous attribuons essentiellement
cette hausse notable des nouvelles
URL de phishing au 3e trimestre
à une campagne de phishing russe
pour la vente de médicaments,
qui créait un sous-domaine
distinct pour chaque destinataire.
Cette campagne n'a pas été
renouvelée au 4e trimestre.
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
1er trim.
2e trim.
3e trim.
2013
URL
4e trim.
1er trim.
2e trim.
3e trim.
2014
Domaines associés
4e trim.
Principaux pays abritant des domaines de phishing
États-Unis
Allemagne
Royaume-Uni
27 %
France
49 %
Brésil
Pays-Bas
2%
2%
2%
Russie
Canada
3%
Autres
3%
4%
8%
Partager ce rapport
Nouvelles URL de spam
700 000
600 000
500 000
400 000
300 000
200 000
100 000
0
1er trim.
2e trim.
3e trim.
2013
URL
4e trim.
Domaines associés
1er trim.
2e trim.
3e trim.
2014
4e trim.
Principaux pays abritant des domaines de spam
États-Unis
Chine
18 %
2%
Allemagne
2%
Hong Kong
3%
52 %
3%
Japon
4%
4%
Russie
12 %
Pays-Bas
Royaume-Uni
Autres
Partager ce rapport
Menaces ciblant la messagerie
et les réseaux
La hausse soudaine des e-mails
légitimes qui a débuté au
3e trimestre est due aux
améliorations apportées
à nos processus de collecte
de données. Les chiffres des
3e et 4e trimestres ne sont pas
directement comparables aux
trimestres précédents, mais
à l'avenir, nous disposerons
d'une mesure historique plus
précise du volume d'e-mails.
Volume de spam et d'e-mails dans le monde
(en milliers de milliards de messages)
12
10
8
6
4
2
0
1er trim.
2e trim.
3e trim.
2013
Messages de spam
4e trim.
1er trim.
2e trim.
3e trim.
2014
E-mails légitimes
4e trim.
E-mails de spam émanant des 20 principaux réseaux de robots
(en millions de messages)
Le 4e trimestre a enregistré
une nette diminution du
volume de spam émanant
d'expéditeurs de réseaux de
robots connus. Le réseau de
robots Kelihos, extrêmement
actif en 2013-14, a fait montre
d'un comportement d'envoi plus
sporadique à la fin de l'année
dernière. De manière générale,
la tendance au 4e trimestre
était au déclin du spam lié à la
vente de médicaments et à des
promesses de gains rapides,
et à l'augmentation du spam
distribuant des charges actives
malveillantes depuis des réseaux
de robots jusque-là non identifiés.
Partager ce rapport
1 500
1 000
500
0
2013
4e trim. 1er trim. 2e trim. 3e trim.
2014
Kelihos
Slenfbot
Snowshoe
Gamut
Darkmailer
Festi
Cutwail
Asprox
Darkmailer 2
4e trim.
Autres
Principales attaques de réseaux
1%
Les attaques du navigateur, les
attaques par déni de service et les
attaques en force demeurent les
trois principaux types d'attaques
réseau au 4e trimestre, même si
les dénis de service ont diminué
de près de moitié par rapport au
3e trimestre. Les attaques liées
au protocole SSL ont augmenté
de 4 % et Shellshock apparaît
désormais en cinquième position
dans notre graphique à secteurs,
la popularité des attaques
exploitant les vulnérabilités
Heartbleed et Shellshock ne
connaissant pas de fléchissement.
2%
1%
Navigateur
Déni de service
6%
5%
26 %
6%
Attaque
en force
SSL
Shellshock
12 %
Balayage
22 %
18 %
Appel de
procédure
à distance
Débordement
de mémoire
tampon
Porte dérobée
(backdoor)
Autres
Partager ce rapport
À propos d'Intel Security
Commentaires et suggestions
Nous souhaiterions obtenir votre
avis dans le but d'orienter notre
travail à l'avenir. Si vous souhaitez
nous faire part de vos impressions,
cliquez ici pour participer à une
courte enquête à propos du
Rapport sur le paysage des
menaces. Celle-ci ne vous
prendra pas plus de cinq minutes.
McAfee fait désormais partie d'Intel Security. Avec sa stratégie Security
Connected, son approche innovante de la sécurité optimisée par le matériel
et son réseau mondial de renseignements sur les menaces Global Threat
Intelligence, Intel Security consacre tous ses efforts à développer des solutions
et des services de sécurité proactifs et éprouvés, qui assurent la protection
des systèmes, des réseaux et des équipements mobiles des entreprises et des
particuliers du monde entier. Intel Security associe le savoir-faire et l'expérience
de McAfee aux innovations et aux performances éprouvées d'Intel pour faire
de la sécurité un élément essentiel de chaque architecture et plate-forme
informatique. La mission d'Intel Security est de permettre à chacun de vivre et
de travailler en toute confiance et en toute sécurité dans le monde numérique.
www.intelsecurity.com
Suivre McAfee Labs
Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de
McAfee. Les informations présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie
ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques.
McAfee. Part of Intel Security.
Tour Franklin, La Défense 8
92042 Paris La Défense Cedex
France
+33 1 47 62 56 00 (standard)
www.intelsecurity.com
Intel et le logo Intel sont des marques commerciales déposées d'Intel Corporation aux États-Unis et/ou dans d'autres pays.
McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de
ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.
Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre
indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite.
Copyright © 2015 McAfee, Inc. 61755rpt_qtr-q4_0215

Rapport de McAfee Labs sur le paysage des menaces — Février 2015

Transcripción

Documentos relacionados

Le programme 2016-17 sera disponible dès le 1er juin

Atlas V2004 - Ministère de l`écologie et du développement durable

Landscape and rural heritage Paysage et patrimoine