Rapport de McAfee Labs sur le paysage des menaces — Février 2015
Transcripción
Rapport de McAfee Labs sur le paysage des menaces — Février 2015
Rapport Rapport de McAfee Labs sur le paysage des menaces Février 2015 Des millions d'utilisateurs d'applications mobiles sont toujours exposés à des attaques exploitant des vulnérabilités SSL. À propos de McAfee Labs McAfee Labs est l'une des principales références à l'échelle mondiale en matière d'études et de renseignements sur les menaces, et les orientations stratégiques qu'il propose dans le domaine de la cybersécurité font autorité. Grâce à des données sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseau) recueillies à partir de millions de sondes, McAfee Labs fournit des renseignements en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques. McAfee fait désormais partie d'Intel Security. www.mcafee.com/fr/mcafee-labs.aspx Suivre McAfee Labs Introduction Dans notre dernier Rapport sur le paysage des menaces, nous avions publié neuf prévisions en matière de menaces pour 2015. Deux mois à peine après le début de la nouvelle année, certaines d'entre elles se sont déjà réalisées. « Les petits États et les groupes terroristes étrangers feront la guerre à leurs ennemis sur le terrain du cyberespace. Ils lanceront des attaques par déni de service distribué paralysantes ou utiliseront des logiciels malveillants (malware) particulièrement destructeurs — certains effaçant les secteurs de démarrage des disques, par exemple, mettant ainsi à mal les réseaux de leurs cibles. » Le FBI a imputé l'attaque lancée contre Sony Pictures Entertainment à la Corée du Nord, celle-ci impliquant précisément l'effacement de secteurs de démarrage. « Ce vecteur d'attaque [Shellshock] servira de point d'entrée dans divers types d'infrastructures, notamment les appliances de particuliers et les entreprises fortement dépendantes de systèmes d'exploitation autres que Windows. Nous nous attendons donc à une hausse significative des logiciels malveillants non Windows en 2015 (...) » Des logiciels malveillants exploitant la vulnérabilité Shellshock ciblent les équipements de stockage en réseau (NAS) QNAP dépourvus des patchs adéquats. « (...) les boutiques d'applications et les sites de téléchargement direct d'applications non approuvés sont légion, et les applications qu'ils proposent dissimulent souvent des logiciels malveillants. Souvent, le trafic sur ces boutiques et sites d'applications malveillants trouve son origine dans des publicités malveillantes, lesquelles ont connu un essor rapide sur les plates-formes mobiles. En 2015, nous continuerons à observer une croissance rapide des publicités malveillantes ciblant les utilisateurs mobiles, confortant la tendance à la hausse des logiciels malveillants sur mobiles. » En collaboration avec la Technische Universität Darmstadt et le Centre for Advanced Security Research Darmstadt, les chercheurs de McAfee Labs ont identifié un logiciel malveillant propagé par des torrents et se faisant passer pour une application Android. Prétextant télécharger le film « The Interview », il installe en réalité un cheval de Troie bancaire sur les terminaux mobiles. Jusqu'ici, 20 000 appareils ont été infectés. Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 2 « Nous avons déjà été témoins de techniques exploitant des vulnérabilités et contournant les environnements sandbox d'applications. Ce n'est qu'une question de temps avant que ces techniques soient proposées aux cybercriminels sur le marché noir. Nous pensons que cela devrait arriver en 2015. » Pour conclure : ■■ De fait, le 13 janvier dernier, Microsoft a signalé qu'une vulnérabilité d'élévation de privilèges affectant Internet Explorer permettait le contournement d'environnements sandbox et qu'elle était exploitée dans le cadre d'une attaque de type « jour zéro ». Les cybercriminels sont tellement prévisibles ! Le premier article de la section Points marquants aborde un sujet pour le moins alarmant : celui de la divulgation d'informations, notamment des noms d'utilisateur et des mots de passe, lors de la communication de certaines applications mobiles vulnérables avec leurs sites web associés. Ceux d'entre vous qui seront présents au Mobile World Congress en mars ont tout intérêt à mûrement y réfléchir avant d'arriver à Barcelone. La section Statistiques sur les menaces de ce rapport contient également quelques graphiques relatifs aux terminaux mobiles qui devraient vous intéresser. Le deuxième article de la section Points marquants s'intéresse au kit d'exploits Angler, qui a rapidement pris la relève de Blacole après l'arrestation de l'auteur de ce dernier fin 2013. Encore plus redoutable et répandu que Blacole, simple d'emploi et largement disponible sur les marchés noirs en ligne, Angler est devenu un vecteur de choix pour la distribution de logiciels malveillants. Enfin, le troisième article met en évidence l'univers complexe des programmes potentiellement indésirables (PUP, Potentially Unwanted Programs). Les PUP sont des applications aux usages légitimes, mais qui présentent des fonctions et comportements susceptibles d'être exploités au détriment de l'utilisateur sans son consentement. Comme en témoigne cet article, certains auteurs de PUP se font plus agressifs. C'est pourquoi une mise à jour fréquente des stratégies relatives à ces menaces est indispensable afin de s'assurer une protection efficace. ■■ ■■ En septembre, Intel Security s'est associé à trois autres éditeurs de solutions de sécurité pour fonder la Cyber Threat Alliance. L'objectif de cette alliance consiste d'une part à promouvoir une collaboration sectorielle plus efficace autour de l'analyse et de l'éradication des menaces de cybersécurité et, d'autre part, à assurer une protection renforcée aux particuliers et aux entreprises, quel que soit leur secteur d'activité. Nous sommes ravis d'annoncer que plus de 100 autres entreprises spécialisées dans la sécurité ont exprimé leur intérêt pour cette initiative. Nous sommes convaincus que, grâce à leur adhésion future, l'alliance produira un effet de réseau très bénéfique à l'ensemble des clients. Nous avons récemment publié le rapport L'être humain, nouvelle cible des pirates qui s'intéresse au concept d'ingénierie sociale et à son exploitation par les cybercriminels. Nous vous encourageons à prendre connaissance de ce document très instructif. Les commentaires que nous recevons de nos lecteurs à propos de nos rapports sur le paysage des menaces nous sont toujours très utiles. Si vous souhaitez nous faire part de vos impressions au sujet de cette édition, cliquez ici pour participer à une petite enquête qui ne vous prendra pas plus de cinq minutes. — Vincent Weafer, Vice-Président Directeur, McAfee Labs Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 3 Sommaire Rapport de McAfee Labs sur le paysage des menaces Février 2015 Ce rapport a été préparé et rédigé par : Carlos Castillo Alex Hinchliffe Patrick Knight Chris Miller Rajesh Nataraj KP François Paget Eric Peterson Arun Pradeep Craig Schmugar Rick Simon Dan Sommer Bing Sun Adam Wosotowsky Résumé 5 Points marquants 6 Les utilisateurs mobiles en danger : des vulnérabilités SSL/TLS toujours bien présentes 7 Adieu Blacole, place à Angler 16 Cinquante nuances de « gris » : l'univers complexe des programmes potentiellement indésirables (PUP) 25 Statistiques sur les menaces 34 Résumé Les utilisateurs mobiles en danger : des vulnérabilités SSL/TLS toujours bien présentes Il y a plusieurs mois maintenant que les fournisseurs d'applications mobiles bien connues ont été avertis du danger pour l'utilisateur de l'exploitation de vulnérabilités SSL/TLS. Or, à l'heure actuelle, la sécurité de bon nombre d'entre elles laisse toujours à désirer. Notre premier article de la section Points marquants se penche sur les vulnérabilités cryptographiques présentes dans certaines applications mobiles populaires, qui permettent aux cybercriminels de lancer des attaques de l'intercepteur (man‑in-the-middle) lorsque les utilisateurs se connectent aux sites web compagnons des applications en question. Les mauvaises pratiques de programmation des développeurs de ces applications exposent les utilisateurs à l'exploitation de tout un éventail de vulnérabilités SSL/TLS, dont BERserk et Heartbleed, qui affectent l'établissement de sessions sécurisées. Dès lors, toutes les communications entre les applications mobiles et leurs sites web, y compris les noms d'utilisateur et les mots de passe, sont visibles des cybercriminels. Couplée à la disponibilité dans le commerce du code source de logiciels malveillants pour mobiles et au fait que —comme l'a précédemment prédit McAfee Labs — des kits de génération de malware pour mobiles pourraient bientôt être proposés sur le Web clandestin, cette exposition crée un terreau propice au vol d'informations et risque d'éroder la confiance dans Internet. Adieu Blacole, place à Angler Le kit d'exploits Angler a pris la relève de Blacole pour devenir l'un des kits d'attaque les plus redoutables et les plus répandus. Un kit d'exploits est un package logiciel commercialisé sur le marché noir, permettant d'élaborer facilement des attaques qui exploitent des vulnérabilités tant connues qu'inconnues. Peu après l'arrestation de l'auteur du kit d'exploits Blacole en 2013, les cybercriminels se sont tournés vers le kit Angler pour distribuer leurs charges actives. Simple d'emploi et largement disponible sur les marchés clandestins du Web, Angler est devenu un vecteur de choix pour la diffusion de logiciels malveillants. Au second semestre 2014, Angler a attiré l'attention du secteur de la sécurité informatique en raison de sa prévalence et des nouvelles fonctionnalités qu'il offrait. Parmi celles-ci, l'infection sans fichier, la détection des machines virtuelles et des produits de sécurité ainsi que sa capacité à distribuer un large éventail de charges actives, notamment des chevaux de Troie bancaires, des rootkits, des logiciels de demande de rançon (ransomware), CryptoLocker, et des chevaux de Troie de type porte dérobée (backdoor). Au moment de la rédaction de ce rapport, Angler comptait toujours parmi les kits d'exploits les plus populaires. Cinquante nuances de « gris » : l'univers complexe des programmes potentiellement indésirables (PUP) Situés aux frontières entre la simple nuisance et le logiciel malveillant, les programmes potentiellement indésirables (PUP) se font cependant toujours plus agressifs. Les programmes potentiellement indésirables (PUP, Potentially Unwanted Programs) sont des applications aux usages légitimes, mais qui présentent des fonctions et comportements susceptibles d'être exploités au détriment de l'utilisateur sans son consentement. Entre autres techniques de distribution, ils utilisent l'ingénierie sociale, le piratage de publicités en ligne, l'installation involontaire d'extensions et de plug-ins de navigateur, l'installation forcée d'applications légitimes ou leur exploitation à l'insu de l'utilisateur. Par ailleurs, le fait qu'ils ne présentent pas le type de comportement généralement détecté par les produits de sécurité les rend difficiles à contrôler. Comme en témoigne cet article, certains auteurs de PUP se font plus agressifs. C'est pourquoi une mise à jour fréquente des stratégies relatives à ces menaces est indispensable afin de s'assurer une protection efficace. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 5 Points marquants Les utilisateurs mobiles en danger : des vulnérabilités SSL/TLS toujours bien présentes Adieu Blacole, place à Angler Cinquante nuances de « gris » : l'univers complexe des programmes potentiellement indésirables (PUP) Donner votre avis Points marquants Les utilisateurs mobiles en danger : des vulnérabilités SSL/TLS toujours bien présentes — Carlos Castillo, Alex Hinchliffe et Rick Simon Une chose est sûre : l'utilisation des applications mobiles est en plein essor. Le slogan d'Apple « Il y a une application pour ça » n'a jamais été aussi vrai. Selon une étude menée par Nielsen en 2014 auprès de quelque 5 000 utilisateurs de smartphones, le nombre d'applications utilisées par une personne sur un mois est passé de 23 en 2011 à près de 27 en 2013. Plus édifiant encore, le temps consacré à l'utilisation des applications mobiles a augmenté à un taux encore supérieur. Sur cette même période de deux ans, la durée d'utilisation a grimpé de 65 %, soit 30 heures par mois en 2013 contre 18 heures en 2011. Non seulement la dépendance vis-à-vis des applications mobiles s'est accrue, mais celles-ci sont devenues plus attrayantes. Nbre moyen d'applications utilisées et temps d'utilisation par personne par mois 30:15 30 23:02 25 20 18:18 15 23,3 26,5 26,8 4e trim. 2011 4e trim. 2012 4e trim. 2013 10 5 0 Nombre d'applications Temps d'utilisation par personne (hh:mm) Source : Nielsen, 2014 Ces tendances à la hausse sont certes une excellente nouvelle pour les responsables du marketing et les consommateurs (tout comme pour les développeurs d'applications professionnelles et leurs clients). Elles se traduisent cependant par des problèmes de sécurité et de confidentialité difficiles à surmonter. Certains de ces problèmes sont causés par l'agressivité exagérée de certains développeurs, d'autres par les réseaux publicitaires intégrés dans leurs applications. Ainsi, selon le McAfee Mobile Security Report (Rapport sur la sécurité mobile de McAfee) de février 2014, si les jeux constituent la catégorie d'applications la plus populaire de l'App Store d'Apple, c'est également celle où l'on rencontre le plus d'abus. Une proportion stupéfiante d'applications mobiles (82 % !) surveillent l'utilisation des réseaux Wi-Fi et de données, la mise en marche du terminal, sa dernière localisation ou sa position actuelle. La plupart du temps, les utilisateurs acceptent le partage de ces informations au moment de l'installation des applications. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 7 Points marquants Les applications mobiles posent d'autres problèmes de sécurité imprévus, certains étant liés à une catégorie de vulnérabilités particulièrement inquiétante que nous abordons dans cet article. Les vulnérabilités propres aux mécanismes cryptographiques : aussi nombreuses que préoccupantes Au cours d'une attaque de l'intercepteur (MITM), un pirate insère subrepticement du code dans le canal de communication entre deux parties. Il peut ensuite entreprendre toute une série d'activités, qui vont de l'écoute clandestine à la manipulation de la conversation tout entière. Les attaques MITM débutent par l'altération du processus cryptographique d'authentification entre les deux parties. SSL/TLS étant le protocole de cryptographie le plus courant, il est également le plus piraté. L'apparition de cette catégorie de vulnérabilités qui touchent les applications mobiles n'a aucun lien avec ces dernières en soi : elle trouve plutôt son origine dans le processus cryptographique que ces applications utilisent pour établir des connexions sécurisées avec les sites Internet. Dans le Rapport de McAfee sur le paysage des menaces — Novembre 2014, nous avions analysé en détail la vulnérabilité BERserk, cette faille du processus de vérification des signatures RSA exécuté par les applications mobiles et non mobiles au moment de l'établissement des connexions sécurisées. La vulnérabilité BERserk permet à un pirate de falsifier des certificats RSA et de lancer des attaques de l'intercepteur (MITM, man-in-the-middle) à l'insu de l'utilisateur. Ces attaques compromettent la confidentialité et l'intégrité des sessions entre les utilisateurs et leurs sites, bénéficiant pourtant d'un niveau élevé de confiance. Une faille similaire du nom de Heartbleed affecte l'implémentation OpenSSL du protocole SSL/TLS et permet aux cyberpirates d'exploiter des connexions en apparence sécurisées entre les utilisateurs et les sites web. Là encore, elle tire parti du fait que les applications mobiles et non mobiles établissent souvent des connexions sécurisées via OpenSSL. Au moment de la divulgation de Heartbleed, on estimait à environ 17 % (soit 500 000) la proportion de serveurs web sécurisés dans le monde vulnérables à ses exploits. Compte tenu de sa prévalence, beaucoup considèrent Heartbleed comme la pire vulnérabilité jamais découverte. Dans le Rapport de McAfee Labs sur le paysage des menaces — Août 2014, McAfee Labs s'est intéressé à l'impact de Heartbleed. Nous avions fait remarquer que, quelques jours seulement après la divulgation de la faille, la communauté des experts en sécurité s'était largement mobilisée et qu'une pléthore de données et d'outils avaient été partagés. Hélas, le tableau s'assombrissait par la suite puisque bien qu'un correctif pour Heartbleed ait été rapidement appliqué à la plupart des sites web à fort trafic, de nombreux équipements IP restaient vulnérables aux exploits tirant parti de la vulnérabilité. Tant BERserk que Heartbleed sont des exemples frappants de vulnérabilités liées aux mécanismes cryptographiques. Elles ne sont toutefois pas les seules à exploiter des connexions sécurisées entre les utilisateurs et les sites web apparemment sûres, alors qu’en réalité, elles ont été compromises par un exploit. Et c'est la confiance dans Internet même qu'elles ébranlent. Vulnérabilités cryptographiques et applications mobiles Quel est le lien entre ce qui précède et la sécurité des applications mobiles ? Face à l'utilisation croissante des applications mobiles, au nombre considérable de vulnérabilités cryptographiques et à l'impact de ces dernières sur la confiance dans Internet, les développeurs d'applications doivent mettre tout en œuvre pour assurer la sécurité de leurs utilisateurs, tant mobiles que non mobiles, et le respect de leur vie privée. L'équipe CERT (Computer Emergency Response Team) de la Carnegie Mellon University a annoncé en août 2014 la sortie de CERT Tapioca (Transparent Proxy Capture Appliance). Cette appliance de machine virtuelle préconfigurée, faisant office de proxy transparent au niveau de la couche Réseau, effectue l'analyse des logiciels afin de détecter le trafic lié aux attaques MITM. Quelques semaines plus tard, la CERT a publié un article de blog faisant état que Tapioca, par un processus automatisé, avait découvert de nombreuses vulnérabilités SSL présentes dans des applications mobiles. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 8 Points marquants En septembre 2014, la CERT a publié une liste des applications mobiles qui sont vulnérables aux attaques MITM du fait qu'elles ne valident pas correctement les certificats SSL. Parmi celles‑ci, McAfee Labs a analysé les 25 applications les plus téléchargées qui transmettent des informations d'identification via des connexions non sécurisées et a déterminé que 18 d'entre elles sont toujours vulnérables. Les enquêtes menées ont abouti à la publication de l'avis de vulnérabilité VU#582497 en septembre 2014. Celui-ci met en lumière l'incapacité de plus de 20 000 applications mobiles à valider correctement les certificats SSL, ce qui les rend vulnérables aux attaques MITM. L'ensemble des applications testées et les informations connexes (versions testées, type, nombre de téléchargements, identificateurs CVE et identificateurs d'avis de vulnérabilité CERT, etc.) sont renseignées dans cette feuille de calcul accessible au grand public. Récemment, McAfee Labs a décidé d'analyser les applications mobiles les plus téléchargées figurant dans cette feuille de calcul afin de s'assurer qu'elles ne sont plus exposées à l'une des vulnérabilités SSL les plus élémentaires : la validation incorrecte des chaînes de certificats numériques. Nous avons plus précisément évalué les 25 applications mobiles les plus téléchargées identifiées comme vulnérables par la CERT en septembre, pour vérifier que les noms d'utilisateur et les mots de passe ne sont plus visibles en raison d'une vérification inadéquate des certificats SSL. À notre grande surprise, malgré les avertissements adressés par la CERT aux développeurs des mois plus tôt, 18 des 25 applications vulnérables les plus téléchargées qui envoient des informations d'identification par l'intermédiaire de connexions non sécurisées sont toujours sujettes aux attaques MITM. C'est une application mobile de retouche de photos comptant entre 100 millions et 500 millions de téléchargements qui se classe en tête de ce groupe. Celle-ci permet aux utilisateurs de partager des photos sur plusieurs réseaux sociaux et sites de services de cloud. Fin janvier, McAfee Labs a utilisé CERT Tapioca pour tester la version la plus récente de l'application téléchargée sur Google Play ; nous avons pu intercepter des noms d'utilisateur et des mots de passe saisis dans l'application pour se connecter au service de cloud afin de partager et de publier des photos : Exemple de résultat de l'analyse par CERT Tapioca d'une application mobile vulnérable à la recherche d'activité associée à des attaques MITM. Notez l'exposition du nom d'utilisateur et du mot de passe (affichés au bas de l'écran). Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 9 Points marquants Une application mobile de météo du groupe présente le même problème que l'application de retouche de photos en cela que les informations d'identification susceptibles d'interception appartiennent aux services web des développeurs de l'application. En revanche, dans le cas d'une application très populaire de gestion de fichiers pour terminaux mobiles, les informations d'identification exposées au grand jour pour cause de validation des certificats numériques incorrecte ou inexistante appartenaient à un service de cloud tiers, Microsoft OneDrive : Sortie de CERT Tapioca montrant l'exposition d'informations d'identification Microsoft OneDrive par une application mobile de gestion de fichiers vulnérable. En réalité, les identifiants mis à découvert par cette application peuvent être utilisés pour accéder non seulement à Microsoft OneDrive, mais aussi à pratiquement tout service Microsoft dans la mesure où l'auteur de l'attaque aura accès au compte Microsoft de la victime. Fort heureusement, il n'y a pas que de mauvaises nouvelles. Dans le groupe des applications mobiles comptant plus de 10 millions de téléchargements, trois de celles identifiées comme vulnérables par la CERT en août dernier ont été corrigées. Elles affichent par ailleurs une erreur réseau lors d'une tentative d'attaque MITM : Exemples d'applications mobiles dont les vulnérabilités SSL/TLS ont été corrigées. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 10 Points marquants Bien que ces avertissements ne puissent pas être considérés comme la confirmation que des attaques MITM sont en cours, ils peuvent constituer une sonnette d'alarme pour l'utilisateur. En ce qui concerne le reste des applications mobiles vulnérables téléchargées plus de 10 millions de fois, leur évaluation nous a permis d'intercepter des informations d'identification permettant d'usurper des identités pour deux réseaux sociaux, d'accéder au tableau de bord parent d'une de ces applications et de contrôler les listes de lecture de vidéos et de musique d'une autre. Dans le groupe des applications mobiles vulnérables avec plus de cinq millions de téléchargements, trois d'entre elles ont vu leurs vulnérabilités corrigées mais les cinq autres demeurent à risque. Parmi ces dernières, deux sont pour le moins insolites car, même sur les sites web qui utilisent HTTPS, les informations d'identification sont envoyées dans l'URL et peuvent donc être interceptées par simple reniflage du trafic réseau. Une de ces applications transmet à la fois le nom d'utilisateur et le mot de passe dans l'URL. Cette application mobile transmet le nom d'utilisateur et le mot de passe chiffré dans l'URL. Des outils de reniflage de paquets et de craquage de mots de passage permettent aux auteurs d'attaques d'intercepter les informations d'identification. Même si le mot de passe intercepté est un hachage cryptographique plutôt que le mot de passe à proprement parler, ce dernier est relativement facile à obtenir grâce à des attaques telles que les attaques par rainbow table ou les attaques en force étant donné que la majorité des utilisateurs emploient des mots de passe faibles. L'autre application communique uniquement le nom d'utilisateur dans l'URL, mais dans la mesure où la validation du certificat du site web laisse à désirer, McAfee Labs a quand même pu intercepter le mot de passe. Exemple d'application mobile qui transmet le nom d'utilisateur dans l'URL et ne valide pas correctement le certificat numérique, permettant ainsi de mettre la main sur les informations d'identification à l'aide d'attaques MITM. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 11 Points marquants Dans certains cas, les applications mobiles vulnérables dévoilaient les informations de connexion à des services tiers populaires, tels que Facebook, Instagram et Microsoft OneDrive. Notons également le cas d'une application sociale mobile, tout aussi intéressant en cela qu'elle utilise la fonction d'authentification unique de Facebook pour se connecter et proposer aux utilisateurs une nouvelle interface pour leur compte Facebook. Cependant, comme le montre la capture d'écran ci-dessous, cette application reste sujette à une validation incorrecte des certificats numériques ; nous avons pu intercepter les informations d'identification Facebook : Exposition des informations de connexion Facebook par cette application mobile en raison d'une mauvaise validation du certificat numérique, qui ouvre la porte aux attaques MITM. Une application de messagerie instantanée mobile présente le même problème. Au lieu des informations d'identification Facebook, nous avons intercepté les informations d'identification Instagram de la victime tant pour l'application elle‑même que pour le service : Partager ce rapport Cette application mobile dévoile les informations d'identification Instagram et les expose aux attaques MITM étant donné qu'elle ne valide pas correctement le certificat numérique. Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 12 Points marquants Toujours dans le groupe des applications mobiles totalisant plus de cinq millions de téléchargements, nous en avons épinglé une, axée sur les sports, qui fournit du contenu gratuit, notamment l'actualité, les programmes des rencontres, les scores et les statistiques. Elle permet également aux utilisateurs de suivre les matchs en direct à condition d'acheter un abonnement pour la saison. Pour avoir accès à cette fonction, l'utilisateur doit se connecter à l'aide d'un nom d'utilisateur et d'un mot de passe pour le service, informations sur lesquelles nous avons pu mettre la main : Exemple d'une application mobile populaire associée aux sports qui met à découvert les nom d'utilisateur et mot de passe. Terminons par le groupe d'applications mobiles vulnérables comptant chacune plus d'un million de téléchargements d'après Google Play. Sur les sept applications qui le composent, seule une a été corrigée par son éditeur. Au moment de la rédaction de ce rapport, les autres étaient toujours vulnérables. À l'instar des autres applications analysées, celles qui appartiennent à ce groupe dévoilent les informations d'identification émanant de services tiers et de réseaux sociaux, tels qu'Instagram et Microsoft, ou appartenant à leurs propres systèmes et services. Enfin, dans le cas d'une application de rencontres sur Internet, le lancement d'une attaque MITM entraîne l'affichage de la notification suivante à l'écran de l'utilisateur : Cette application mobile vulnérable détecte les réseaux non sûrs mais offre à l'utilisateur la possibilité de poursuivre en s'y connectant. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 13 Points marquants À noter toutefois la présence de l'option « Trust this network » (Faire confiance à ce réseau). Si l'utilisateur sélectionne cette option, l'attaque réussit : Si l'utilisateur de cette application mobile vulnérable sélectionne l'option « Trust this network », ses informations d'identification seront exposées à des attaques MITM. Dans le Rapport de McAfee Labs sur le paysage des menaces — Novembre 2014, nous signalions que le code source libre et disponible dans le commerce destiné à la création de logiciels malveillants sur mobiles était en plein essor et que des kits de génération de ce type de malware seraient prochainement proposés sur le Web clandestin. Ces produits commercialisés sur le marché noir ouvrent grand la porte aux voleurs et offriront sans nul doute aux cybercriminels un horizon beaucoup plus large pour l'attaque des terminaux mobiles. Ajoutez à cela notre prévision pour 2015 concernant la sécurité mobile et l'exposition persistante d'applications populaires aux vulnérabilités SSL, et les éléments sont réunis pour que le vol par des cyberpirates s'intensifie. Addressing the problem Lorsque des problèmes tels ceux soulevés par la CERT et Intel Security sont corrigés à la source, c'est-à-dire dans le code des applications vulnérables, la nouvelle est très positive pour l'ensemble de l'écosystème : éditeurs de platesformes mobiles, boutiques d'applications, fournisseurs de solutions de sécurité et développeurs d'applications mobiles. Elle l'est cependant moins si ces correctifs ne sont que partiels, comme dans le cas de l'application de rencontres mentionnée précédemment, qui permet aux utilisateurs de « faire confiance à un réseau », jetant dès lors leurs informations d'identification en pâture aux pirates. Et que faire lorsque les correctifs n'ont toujours pas été distribués ? Comme avec la plupart des problèmes de sécurité, il est possible de prendre certaines mesures. Cependant, il arrive parfois que nous soyons à la merci d'autres facteurs, par exemple les développeurs d'applications, les mises à jour d'applications ou encore les versions de système d'exploitation. Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 14 Points marquants Découvrez comment Intel Security peut vous aider à vous protéger contre cette menace. Commençons par les applications. En principe, nous recommandons de ne télécharger que des applications qui sont bien connues, bénéficient d'évaluations très positives et émanent de sources fiables (des éditeurs connus ou des boutiques dignes de confiance comme Google Play). Force est toutefois de constater que ce conseil ne suffit pas dans le cas qui nous occupe. De fait, toutes les applications que nous avons passées au crible sont connues, bien cotées et proviennent de sources dont la fiabilité ne fait pas de doute. Ces précautions n'en demeurent pas moins pleines de bon sens. Si vous travaillez dans un environnement d'entreprise où certaines applications sont fournies via une boutique d'applications interne, contactez votre équipe informatique pour vous assurer que les applications sont testées pour déceler la présence éventuelle de vulnérabilités telles que celles décrites dans cet article. On ne peut pas attendre des utilisateurs qu'ils installent des outils d'analyse et qu'ils examinent le code pour déterminer leur exposition éventuelle à certains risques. Vous pouvez néanmoins étudier de plus près une application et vous poser certaines questions. Pourquoi vous oblige-t-elle à vous connecter ? Quels sont ses avantages ou ses fonctions ? Les options proposées par la « version professionnelle » valent-elles vraiment la peine de risquer la compromission des données personnelles ? Réfléchissez à deux fois avant d'accepter de vous connecter avec un compte de réseau social existant par souci de facilité, car cela pourrait vous coûter plus cher que ne vous l'imaginez. Lisez également la politique de confidentialité de l'application pour obtenir des informations sur les données partagées et savoir à quelles fins et de quelle manière elles le sont. En bref, il faut S'ARRÊTER ET RÉFLÉCHIR AVANT DE SE CONNECTER. La gestion des mots de passe est parfois pénible. Le jeu en vaut toutefois la chandelle car en associant des identifiants de connexion uniques à à chaque application, les risques sont réduits : une attaque MITM ne permettrait de subtiliser que les informations d'identification de l'application concernée. Vous pouvez gérer manuellement les informations d'identification uniques, mais sachez qu'il existe des logiciels conçus pour automatiser la procédure. Pour en savoir plus sur les applications vulnérables décrites ici et d'autres, vous pouvez vous abonner aux mises à jour de l'équipe CERT ou d'Intel Security. N'hésitez pas non plus à effectuer des recherches sur le Web lorsque vous envisagez d'installer de nouvelles applications. Si certaines informations au sujet d'une application vous préoccupent, optez pour une autre qui propose des services similaires. Bien souvent, vous aurez l'embarras du choix ! Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 15 Points marquants Adieu Blacole, place à Angler — Rajesh Nataraj KP Un kit d'exploits est un package logiciel commercialisé sur le marché noir, permettant d'élaborer facilement des attaques qui exploitent des vulnérabilités tant connues qu'inconnues. Les cybercriminels ont recours aux kits d'exploits pour diffuser des logiciels malveillants. Ces ensembles d'outils exploitent des vulnérabilités côté client, ciblant principalement le navigateur web et les programmes accessibles par celuici. Les kits d'exploits peuvent enregistrer les statistiques d'infection et contrôler les ordinateurs compromis à distance, dans le plus grand secret. Le puissant kit d'exploits Angler doit sa popularité à la facilité avec laquelle il s'acquiert et s'utilise. Les forces de l'ordre connaissent parfois des succès dans la lutte contre les kits d'exploits. L'arrestation fin 2013 du pirate à l'origine de Blacole alors qu'il connaissait ses heures de gloire est un de ces succès. Il n'a toutefois pas fallu longtemps à la communauté des auteurs de malware pour jeter leur dévolu sur le kit d'exploits Angler en vue de la diffusion de leurs charges actives. Au second semestre 2014, Angler a attiré l'attention du secteur de la sécurité informatique en raison de sa prévalence et des nouvelles fonctionnalités qu'il offrait. Citons à ce titre l'infection sans fichier, la détection des machines virtuelles et des produits de sécurité, ou encore sa capacité à distribuer un large éventail de charges actives (chevaux de Troie bancaires et de type porte dérobée, rootkits, logiciels de demande de rançon, CryptoLocker, etc.). Par ailleurs, la communauté des chercheurs spécialisés dans les menaces a constaté qu'Angler était le premier kit d'exploits à distribuer des logiciels de demande de rançon en exploitant une vulnérabilité de Microsoft Silverlight. De plus, Angler s'utilise facilement, sans nécessiter de compétences techniques particulières, et est accessible sur les marchés clandestins du Web, raisons pour lesquelles il compte désormais parmi les vecteurs les plus prisés de propagation de logiciels malveillants. Les kits d'exploits visent principalement les vulnérabilités présentes dans Internet Explorer, Firefox et Chrome. Ils tirent également profit de failles de programmes tels qu'Adobe Flash Player, Adobe Reader et Java. Le graphique ci-après illustre les kits d'exploits les plus prévalents en 2014. Prévalence des kits d'exploits en 2014 5% 1% Angler Sweet Orange 11 % 26 % Flashpack Magnitude 12 % Rig 17 % 13 % Neutrino 15 % Partager ce rapport Infinity Styx Source : McAfee Labs, 2015 Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 16 Points marquants Le graphique qui suit montre l'évolution du nombre de variantes de kits d'exploits au cours de l'année écoulée. Nombre de variantes de kit d'exploits Variantes parmi les kits d'exploits en 2014 15 10 5 0 1er trim. 2e trim. 3e trim. 4e trim. 2014 Angler Sweet Orange Flashpack Magnitude Rig Infinity Neutrino Styx Source : McAfee Labs, 2015 Concentrons-nous à présent sur le kit d'exploits le plus en vogue, Angler, et examinons son fonctionnement, ses cibles, ses techniques de dissimulation ainsi que les changements dont il a fait l'objet. Angler, un bourreau de travail Angler recourt à tout un éventail de techniques de contournement pour ne pas être repéré par les machines virtuelles, les environnements sandbox et les logiciels de sécurité. Le kit d'exploits Angler fait preuve d'une activité effrénée : il modifie régulièrement ses comportements et ses charges actives pour rester invisible des produits de sécurité. Il présente plusieurs caractéristiques essentielles : ■■ ■■ ■■ ■■ ■■ ■■ Il utilise deux niveaux de mécanismes de redirection avant d'atteindre la page de destination. Les serveurs web compromis qui hébergent la page de destination ne sont accessibles qu'une seule fois à partir d'une même adresse IP. Il est donc évident que les auteurs d'attaques surveillent activement les hôtes. Il détecte la présence de machines virtuelles et de produits de sécurité sur le système. Son code contient des appels parasites et destinés à brouiller les pistes pour que sa logique soit difficile à reconstituer. Il chiffre toutes les charges actives au moment du téléchargement et les déchiffre sur l'ordinateur compromis. Il recourt à l'infection sans fichier (déploiement direct de la charge active en mémoire). Lorsqu'une victime potentielle accède à un serveur web compromis à l'aide d'un navigateur vulnérable, ce serveur redirige la connexion vers un serveur intermédiaire, qui lui-même la réoriente vers le serveur malveillant hébergeant la page de destination du kit d'exploits. La page recherche ensuite la présence de plug-ins (Java, ShockWave Flash et Silverlight) ainsi que les informations de version. Si une version de navigateur ou de plug-in vulnérable est détectée, l'hôte distribue la charge active et infecte le système. Le schéma ci-après montre la chaîne d'infection complète. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 17 Points marquants Chaîne d'infection du kit d'exploits Angler Victime 1 2 Navigateur vulnérable 3 Mécanisme de redirection 1 Serveur compromis redirigeant les connexions vers un serveur malveillant 4 Mécanisme de redirection 2 Hébergé soit sur un site Angler, soit sur le serveur compromis Serveur distribuant la page du kit d'exploits Angler 5 NON 6 Système compromis Serveur distribuant les exploits et les charges actives malveillantes Recherche de machines virtuelles et de produits de sécurité OUI Fin de la procédure avec une erreur d'exception JavaScript Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 18 Points marquants Reconnaissance Le kit d'exploits Angler inspecte le système cible pour pouvoir distribuer la page de destination et la charge active adéquates. ■■ ■■ Dans les informations d'agent utilisateur, il vérifie le nom et la version du navigateur ainsi que le système d'exploitation. Il identifie les plug-ins de navigateur vulnérables installés et leur version. Une fois les composants de navigateur vulnérables déterminés, la page de destination d'Angler exécute le code malveillant de manière à déployer l'exploit. Angler comporte plusieurs exploits, qu'il distribue dynamiquement en fonction de l'application vulnérable. Il est en mesure d'exploiter plusieurs vulnérabilités d'Internet Explorer : ■■ ■■ ■■ ■■ CVE-2013-2551 — Cible le navigateur Internet Explorer pour permettre une corruption de la mémoire à l'aide d'objets de forme VML (Vector Markup Language). CVE-2013-0074 — Tire parti d'un déréférencement double dans Silverlight. CVE-2013-2465 — Cible l'environnement d'exécution Java. CVE-2014-0515 — Cible Adobe Flash Player. Code du kit d'exploits Angler révélant différentes vulnérabilités qu'il permet d'exploiter Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 19 Points marquants Distribution Les serveurs compromis ou malveillants distribuent les exploits et les charges actives malveillantes sur les systèmes des victimes. Les pirates optent pour la méthode de distribution via des URL mal formées, qui constituent des « campagnes ». Les variations constatées au niveau des campagnes ou modèles d'URL suggèrent que des groupes cybercriminels différents en sont à l'origine. Dans le cas d'Angler, on a observé deux types de campagnes en circulation. Leur classification, réalisée sur la base des domaines de distribution, donne à penser que plusieurs groupes cybercriminels utilisent massivement le kit d'exploits : ■■ ■■ Une campagne utilisant une page de destination normale du kit d'exploits, dépourvue de modèle spécifique Une autre employant une page de destination dont l'URL utilise le format 32 x 32 caractères pour la partie « gate » ––[Domaine.Malveillant/[a-f0-9]{32}.php?q=[a-f0-9]{32}] Exploitation Divers mécanismes de dissimulation sont intégrés dans une page de destination type du kit d'exploits Angler afin de donner du fil à retordre aux chercheurs spécialisés en menaces lors de l'ingénierie inverse. Le code de la page inclut également du contenu servant d'artifice conçu pour berner les dispositifs de détection. L'image ci-dessous illustre une page de destination contenant le code d'exploit. Page de destination du kit d'exploits Le contenu chiffré figure dans la balise HTML <p>, qui définit un paragraphe et prend également en charge des attributs globaux. Il est stocké au sein de plusieurs balises <p> sur la page de destination. Le script de la page de destination employé pour déchiffrer le contenu présent dans la balise <p> est brouillé et compressé dans un format incohérent. Compte tenu de la présence de variables aléatoires, de chaînes de séparation et de fonctions parasites, la détection relève du tour de force. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 20 Points marquants Page de destination recourant à la dissimulation La logique de déchiffrement de la page de destination est assez simple. Le chiffre de substitution est appliqué pour remplacer le contenu chiffré par le contenu déchiffré. Dans l'exemple qui précède, une clé composée de 20 caractères est scindée et sa séquence de caractères est stockée dans un tableau. Ces caractères sont ensuite triés par ordre croissant et stockés dans un autre tableau. Ensuite, un script de la page de destination utilise la méthode IndexOf () pour comparer les deux tableaux et générer un chiffre. Pour ce faire, la méthode recherche les caractères spécifiés dans les tableaux et renvoie leurs positions. Celles-ci constituent le chiffre qui va déterminer le décalage à appliquer pour déchiffrer le contenu chiffré. Le contenu déchiffré contient encore de nombreuses fonctions qui utilisent des algorithmes de substitution similaires pour générer des URL d'exploit, des paramètres et des informations de charge active. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 21 Points marquants Vérification des mécanismes de défense Angler utilise le protocole RES:// ou la méthode du contrôle ActiveX Microsoft XMLDOM pour identifier les fichiers d'un répertoire système. Il vérifie également si des produits de sécurité ou des machines virtuelles sont installés sur le système. Une technique d'évitement des machines virtuelles empêche l'infection de ces dernières et permet le contournement des environnements d'analyse automatisés. Angler recherche différents fichiers, dont les suivants : ■■ ■■ ■■ ■■ ■■ Un plug-in de clavier virtuel (pour identifier les logiciels Kaspersky) tmactmon.sys, tmevtmgr.sys, tmeext.sys, tmnciesc.sys, tmtdi.sys, tmcomm.sys et tmebc32.sys (Trend Micro) vm3dmp.sys, vmusbmouse.sys, vmmouse.sys et vmhgfs.sys (VMware) vboxguest.sys, vboxmouse.sys, vboxsf.sys et vboxvideo.sys (VM VirtualBox) prl_boot.sys, prl_fs.sys, prl_kmdd.sys, prl_memdev.sys, prl_mouf.sys, prl_pv32.sys, prl_sound.sys, prl_strg.sys, prl_tg.sys et prl_time.sys (virtualisation Parallels Desktop) Installation des charges actives Une fois la faille exploitée, la méthode d'infection est choisie en fonction des applications vulnérables identifiées au sein du navigateur. Dans le cas d'Angler, deux méthodes d'infection ont été observées : ■■ Dès lors qu'Angler détecte des vulnérabilités, il peut distribuer des charges actives toujours plus nombreuses. Certains logiciels malveillants peuvent être placés directement en mémoire, ce qui les rend plus difficiles à détecter. ■■ Infection sans fichier — Angler recourt à une nouvelle technique consistant à injecter la charge active directement dans la mémoire du programme exploité en créant une nouvelle thread dans le processus de celui-ci. De cette façon, il n'a pas à écrire le fichier sur le disque, ce qui réduit la probabilité qu'il soit détecté par les logiciels de sécurité. Cette charge active peut ensuite télécharger d'autres logiciels malveillants. Téléchargement direct de charges actives chiffrées — Les charges actives hébergées sur le serveur malveillant sont chiffrées en binaire (XOR) au moyen d'une clé de 8 octets. Au terme de la phase d'exploitation, ces charges actives chiffrées sont téléchargées sur l'ordinateur ciblé, où elles sont ensuite déchiffrées et exécutées. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 22 Points marquants ■■ ■■ ■■ ■■ ■■ ■■ Andromeda Cryptowall Necurs Simda Vawtrak Zbot La diversité des charges actives distribuées par ce kit d'exploits témoigne de son utilisation massive par différentes communautés de pirates. Charges actives distribuées par le kit d'exploits Angler en 2014 Nombre de variantes de charges actives distribuées Le graphique ci-contre montre les familles de logiciels malveillants courantes distribuées au moyen d'Angler. Cet article ne traite pas de ces charges actives, déjà étudiées ailleurs. 20 15 10 5 0 1er trim. 2e trim. 3e trim. 4e trim. 2014 Zbot Simda Vawtrak Ransomware Necurs Autres Source : McAfee Labs, 2015 Modifications du kit d'exploits Angler en 2014 • Détection d'une page de renvoi utilisant le format de porte 32x32 • Redirection vers une adresse IP Angler et informations utilisateur • Chiffrement en binaire (XOR) conjoint du shellcode et de la charge active • Reconnaissance de VMware et des produits de sécurité 1er trim. 2014 2e trim. 2014 • Utilisation d'exploits visant Silverlight répertoriés dans CVE-2013-0074 • Chiffrement XOR des charges actives • Exploits ciblant le navigateur Internet Explorer répertoriés dans CVE-2013-2551 • Ajout de l'exploit pour Flash identifié dans CVE-2013-5330 3e trim. 2014 4e trim. 2014 Technique d'infection sans fichier Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 23 Points marquants Pratiques sûres Découvrez comment Intel Security peut vous aider à vous protéger contre cette menace. Voici quelques mesures recommandées pour protéger les systèmes contre le kit d'exploits Angler : ■■ ■■ ■■ ■■ ■■ Faites appel à un fournisseur d'accès Internet attentif à la sécurité qui met en œuvre des procédures strictes en matière de lutte contre le spam et le phishing. Activez les mises à jour automatiques de Windows ou téléchargez régulièrement les mises à jour de Microsoft afin que vos systèmes d'exploitation bénéficient en permanence des derniers patchs requis pour corriger leurs vulnérabilités connues. Installez les patchs d'autres éditeurs de logiciels dès qu'ils sont disponibles. Doter son ordinateur de tous les patchs nécessaires et le protéger au moyen d'un pare-feu constitue la meilleure approche pour se prémunir contre les logiciels espions (spyware) et les chevaux de Troie. Soyez extrêmement prudent au moment d'ouvrir des pièces jointes. Configurez votre logiciel antivirus pour qu'il analyse automatiquement tous les fichiers joints aux e-mails et aux messages instantanés. Vérifiez que l'ouverture des pièces jointes ne soit pas automatique dans vos programmes de messagerie, pas plus que l'affichage des images. Assurez-vous par ailleurs que le volet d'aperçu est désactivé. N'ouvrez jamais des e-mails non sollicités ou des fichiers joints que vous n'attendez pas, même s'ils proviennent de personnes que vous connaissez. Méfiez-vous des escroqueries par phishing utilisant le spam. Ne cliquez pas sur les liens figurant dans les e-mails ou les messages instantanés. Utilisez un plug-in de navigateur pour bloquer l'exécution des scripts et des balises iFrame. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 24 Points marquants Cinquante nuances de « gris » : l'univers complexe des programmes potentiellement indésirables (PUP) — Arun Pradeep Situés aux frontières entre la simple nuisance et le logiciel malveillant, les programmes potentiellement indésirables (PUP) se font cependant toujours plus agressifs. Nous partons du principe que tous les logiciels malveillants sont néfastes et devraient figurer sur liste noire. Une catégorie de logiciels malveillants demeure toutefois difficile à classer et à combattre : les programmes potentiellement indésirables ou PUP (Potentially Unwanted Programs), qui ne sont pas toujours animés de mauvaises intentions. Ainsi, les logiciels publicitaires (adware), les logiciels espions (spyware) et autres types d'applications non destructrices sont généralement considérés comme des programmes potentiellement indésirables. Ceux-ci se situent dans une « zone grise » dans la mesure où, à côté du risque qu'ils posent, ils présentent souvent un intérêt pour l'utilisateur. Si les développeurs ont parfois une explication raisonnable pour justifier leur création, force est de constater que ces programmes présentent des comportements très variables, tantôt relativement bénins, tantôt plutôt malveillants. McAfee Labs examine de très près les PUP afin de déterminer leurs desseins et d'aider les clients à les éradiquer. Toute application présentant un risque sous-jacent tangible pour l'utilisateur, aussi avantageuse soit-elle pour ce dernier, peut être assimilée à un programme potentiellement indésirable. Les applications n'informent généralement pas les utilisateurs du risque encouru. Contrairement aux chevaux de Troie, aux virus, aux rootkits et autres formes de malware, les programmes potentiellement indésirables n'ont généralement pas pour fonction de subtiliser les identités d'utilisateurs et les informations d'identification bancaires ni d'altérer les fichiers système. Une application peut être considérée comme un PUP ou programme potentiellement indésirable dès lors qu'elle présente les comportements suivants : ■■ ■■ ■■ ■■ ■■ ■■ Modification non autorisée des paramètres système (configuration du navigateur, par exemple) Dissimulation d'un programme non sollicité au sein d'une application légitime Collecte secrète d'informations sur les utilisateurs, les habitudes de navigation et la configuration système Dissimulation de l'installation d'une application Désinstallation complexe Distribution par le biais de publicités déroutantes ou trompeuses Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 25 Points marquants En fonction de leur comportement, nous distinguons plusieurs sous-catégories de programmes potentiellement indésirables : ■■ ■■ ■■ ■■ ■■ ■■ Logiciels publicitaires : distribuent des publicités principalement par le biais des navigateurs. Craqueurs de mot de passe : affichent les mots de passe secrets des applications. Outils d'administration à distance (RAT) : surveillent les activités des utilisateurs sur les machines infectées ou permettent le contrôle à distance du système à l'insu de l'utilisateur ou sans son consentement. Générateurs de clés : génèrent des clés de produits pour des applications légitimes. Outils de piratage de navigateurs : modifient la page d'accueil ou de recherche, les paramètres du navigateur, etc. ■■ ■■ Outils de piratage : applications autonomes pouvant faciliter les intrusions système ou les fuites de données stratégiques. Proxys : redirigent ou dissimulent des informations liées aux adresses IP. Outils de suivi : logiciels espions (spyware) ou enregistreurs de frappe qui enregistrent les frappes de l'utilisateur, journalisent ses communications personnelles, surveillent ses activités en ligne ou capturent des écrans à son insu. Le tableau suivant présente les principales différences entre les PUP et les autres logiciels malveillants (chevaux de Troie, ransomware, robots et virus, par exemple) : Programme potentiellement indésirable (PUP) Autre logiciel malveillant : cheval de Troie, virus, robot, etc. Méthode d'installation Procédure d'installation standard, parfois accompagnée d'un accord de licence utilisateur final. L'installation complète sur un système nécessite souvent l'aval et l'intervention de l'utilisateur. Installation autonome sans aucune intervention de l'utilisateur. Ce type de logiciel opère pour l'essentiel de manière totalement indépendante. Présentation Associé à une application légitime et installé clandestinement en même temps que celle-ci. Fichier autonome avec peu de composants supplémentaires. Ne se présente pas sous la forme d'un programme d'installation. Désinstallation Le package contient parfois un programme de désinstallation permettant sa suppression. La procédure de désinstallation est souvent complexe. Les fichiers exécutables compliquent la suppression du logiciel malveillant en raison d'imbrications dans d'autres processus, handles ou identifiants de processus et d'autres liens complexes. Comme il ne s'agit pas de packages d'installation, ces fichiers n'apparaissent pas dans le Panneau de configuration. Comportement Affiche des publicités indésirables et des fenêtres au-dessus (pop-up) ou en dessous (pop-under) de la fenêtre active. Modifie les paramètres du navigateur, collecte des données sur l'utilisateur et le système ou permet le contrôle à distance du système à l'insu de l'utilisateur ou sans son consentement. Dérobe des informations d'identification personnelle ou des données bancaires, modifie les fichiers système, rend le système inutilisable, réclame une rançon, etc. Furtivité Son comportement n'est généralement pas furtif. Peut dissimuler des fichiers, des dossiers, des entrées de Registre et du trafic réseau. Techniques Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 26 Points marquants Propagation Les campagnes de phishing, le piratage de l'optimisation des moteurs de recherche, l'exploitation de serveurs web vulnérables et les robots sont quelques-unes des techniques utilisées par les cybercriminels pour distribuer leurs logiciels malveillants. La propagation des PUP se fait quant à elle généralement en abusant la confiance d'utilisateurs innocents, ainsi qu'expliqué dans le Rapport de McAfee sur le paysage des menaces — Novembre 2014. Les techniques de distribution de PUP les plus courantes sont les suivantes : ■■ ■■ ■■ ■■ ■■ ■■ ■■ Exploitation malveillante et secrète d'applications légitimes Ingénierie sociale Vente de mentions J'aime Facebook Publication de messages frauduleux sur Facebook Piratage de Google AdSense Extensions et plug-ins de navigateur non prévus Installation forcée en même temps que des applications légitimes Régulation difficile Même si les programmes potentiellement indésirables ne recourent pas à des tactiques de contournement complexes telles que la compression personnalisée, le chiffrement, la détection des machines virtuelles et d'autres comportements furtifs fréquemment utilisés par les chevaux de Troie et les virus, cela ne les empêche pas d'échapper aux mécanismes de détection de divers produits de sécurité. Mais au vu de leur manque de complexité, comment expliquer que ces programmes soient si difficiles à réguler ? Les techniques de propagation en apparence innocentes mises au point par les auteurs de PUP leur permettent de passer outre divers dispositifs de sécurité (prévention des intrusions réseau, pare-feu, antimalware) pour atteindre leurs cibles, y compris au sein des entreprises. Les PUP n'ont pas besoin de faire preuve de furtivité pour contourner les contrôles de sécurité car ils sont associés à des applications légitimes et parfois installés avec le concours involontaire des utilisateurs. Ces applications sont même parfois dotées d'une signature numérique afin de s'introduire dans les systèmes. Les chercheurs spécialisés dans les menaces n'ont aucun mal à reconstituer la logique des fichiers afin de déterminer s'ils sont en présence de chevaux de Troie, de virus ou de robots car ils affichent un comportement malveillant dès qu'ils sont soumis à une analyse dynamique ou statique ou à l'ingénierie inverse. En revanche, les programmes potentiellement indésirables n'affichent généralement pas de telles caractéristiques. Ils adoptent un comportement similaire aux programmes légitimes, ce qui leur vaut d'être considérés comme des fichiers inconnus ou « gris » par la communauté des experts en sécurité. Ce comportement a pour effet de compliquer leur classification par les chercheurs en tant que PUP ou en tant que fichiers légitimes. Longtemps, les PUP ont été perçus comme des menaces non critiques et n'ont pas suscité d'inquiétude particulière dans le chef des éditeurs de solutions de sécurité. Leur agressivité s'est toutefois considérablement renforcée. Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 27 Points marquants Logiciels publicitaires abusifs De toutes les catégories de PUP, les logiciels publicitaires sont ceux qui ont le plus attiré l'attention des éditeurs de solutions de sécurité, non pas pour le dérangement qu'ils occasionnent mais pour la manière dont ils abusent la confiance. Les PUP, en particulier les logiciels publicitaires, sont de plus en plus agressifs, invasifs et difficiles à éradiquer. Les logiciels publicitaires ont peaufiné leurs tactiques et mettent en œuvre diverses techniques pour assurer leur persistance sur les systèmes infectés, dont les suivantes : ■■ ■■ ■■ ■■ ■■ ■■ ■■ ■■ ■■ Exécution d'un processus autonome dans la mémoire Fichiers DLL de type COM (Component Object Model) et non COM avec fonctions spécialement conçues pour l'application Clés de Registre d'objets d'aide à la navigation (BHO, Browser Helper Object) Fichiers DLL accrochés à des processus système Extensions et plug-ins de navigateur Services système enregistrés Composants de pilotes de périphérique exécutant des fonctions de contrôle des équipements Pilotes de filtre de bas niveau Chevaux de Troie distribués sous forme de charge active Les zones rouges dans le graphique suivant illustrent les différents vecteurs ciblés par les PUP à divers niveaux de Microsoft Windows. MODE UTILISATEUR Points de chargement de logiciels publicitaires sur Microsoft Windows Fichier sur disque Extensions de navigateur Plug-ins multiplate-formes Services système MODE NOYAU NTDLL.DLL Pilotes de périphérique Threads Mémoire virtuelle NOYAU Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 28 Points marquants Tendances en matière de PUP Nombre de signalements de PUP par des entreprises Au troisième trimestre, McAfee Labs a observé un grand nombre de signalements de programmes potentiellement indésirables recourant aux techniques des logiciels publicitaires. Les principales applications étaient OutBrowse, SearchSuite, SearchProtect et BrowseFox. 700 600 500 400 300 200 100 0 1er trim. 2014 2e trim. 2014 3e trim. 2014 4e trim. 2014 2014 Source : McAfee Labs, 2015 Signalements de PUP transmis à McAfee Labs par des entreprises clientes en 2014 Prévalence des PUP sur Microsoft Windows Janvier SafeSurf Extracteur de bitcoins Amonetize Mars HideWindow BetterInstaller Bprotect 1er trim. 2014 Février SafeSurf OpenCandy Bprotect BetterSurf NewNext Mai OutBrowse MultiDropper Crossrider AddLyrics NewNext Juillet BrowseFox SearchProtect SearchSuite DealPly CoinMiner OneInstaller 2e trim. 2014 Avril OutBrowse MultiDropper Bprotect Crossrider AddLyrics Juin BrowseFox PriceMeter SearchSuite Bprotect OneInstaller AddLyrics Septembre BrowseFox SearchSuite Crossrider Amonetize OpenCandy ShopperPro 3e trim. 2014 Août BrowseFox SearchSuite Crossrider Amonetize AddLyrics Novembre BrowseFox SearchSuite Crossrider DealPly AddLyrics 4e trim. 2014 Octobre BrowseFox SearchSuite Crossrider WebProtect iBryte RocketTab DealPly AddLyrics Décembre BrowseFox SearchSuite Crossrider Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 29 Points marquants Principaux logiciels publicitaires Familles de logiciels publicitaires les plus répandues en 2014 : ■■ ■■ ■■ ■■ ■■ Adware-BrowseFox Adware-SearchSuite Adware-SearchProtect Adware-iBryte PUP utilisant le cadre Crossrider Utilisé par les développeurs pour concevoir des plug-ins de navigateurs multiplate-formes, le cadre Crossrider est désormais manipulé par certains logiciels publicitaires, qui se servent de son API pour transférer en secret des publicités aux machines ciblées. Il s'agit là d'une autre astuce utilisée par les auteurs d'adware pour échapper à la détection des produits de protection des terminaux. Après Windows, les PUP s'attaquent à Apple BrowseFox exécute deux services sur le système infecté, qui se connectent tous deux à des serveurs distants au moyen de ports TCP et UDP. Contrairement aux connexions UDP, les connexions TCP garantissent la remise des paquets, de sorte que les données transférées depuis le serveur distant atteignent immanquablement l'ordinateur de la victime. Les services système de ce logiciel publicitaire permettent au programme de s'exécuter en continu sur les machines infectées, même en cas de redémarrage. L'analyse du logiciel publicitaire SearchSuite réalisée par McAfee Labs en 2014 a mis en évidence le comportement extrêmement agressif de ce programme. En plus d'intégrer un package d'installation complet, des composants de navigateur et des services système, SearchSuite utilise les API de contrôle des équipements de Windows pour prendre le contrôle des pilotes de périphérique. Ce comportement particulier met au défi les méthodes de détection utilisées par les produits de sécurité. Ces composants s'insinuent au plus profond du mode noyau et créent des pilotes de filtres de bas niveau, qui sont généralement utilisés par les applications pour interagir avec des équipements matériels. Si les chevaux de Troie ont encore du mal à atteindre les systèmes Apple, ce n'est pas le cas de familles de programmes potentiellement indésirables telles que Bundlore, Aobo KeyLogger, Ginieo et SearchProtect, qui ont réussi à infecter les Mac. Plus de 70 % des logiciels malveillants détectés sur les Mac relèvent de la catégorie des PUP. S'il a fallu attendre 2012 pour observer les premiers logiciels publicitaires sur les Mac, ceux-ci sont aujourd'hui infectés par de nombreux programmes potentiellement indésirables. De même que pour Windows, les PUP ciblant les Mac sont associés à des applications légitimes, telles que des convertisseurs vidéo, des téléchargeurs YouTube et bien d'autres. Une fois installés sur le Mac de leur victime, les logiciels publicitaires épient les habitudes de navigation de l'utilisateur pour ensuite distribuer des publicités conçues en conséquence. Prévalence des programmes PUP sur les Mac Apple Septembre Vsearch Yontoo Aobo KeyLogger Xforce (craqueur Adobe) 3e trim. 2014 Octobre FkCodec Crossrider Genieo Bundlore Zako Ventir Novembre NetWeird OpinionSpy SearchProtect Puper Rlogger CoinMiner Décembre Genieo Spigot Backtrack Refog Yontoo CoinMiner 4e trim. 2014 Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 30 Points marquants Examinons une journée dans la vie des programmes potentiellement indésirables. La carte suivante dresse un état des lieux des données télémétriques recueillies sur le terrain par McAfee Labs sur une période de 24 heures : Sources de PUP au cours d'une période échantillon de 24 heures Comparaison entre les occurrences de PUP et des autres principaux logiciels malveillants en 24 heures Programmes potentiellement indésirables (PUP) 6% Autres logiciels malveillants 94 % Plus de 300 000 adresses IP individuelles présentaient des composants adware s'exécutant sur l'hôte. Des PUP ont été distribués dans 170 pays et principalement aux États-Unis. 1,5 million de postes uniques ont été infectés par des PUP. 373 000 hachages uniques intégrant des composants PUP ont été détectés sur les machines des clients. Sur les 50 principales familles de malware surveillées au cours de cette période, les PUP dominaient largement, avec 94 % des occurrences totales. ■■ ■■ ■■ ■■ Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 31 Points marquants Au cours d'une période de 24 heures type, McAfee détecte des PUP sur plus de 91 millions de systèmes. Famille de PUP Adware-BrowseFox Nombre de détections signalées en 24 heures 86 683 015 Adware-BProtect 2 063 861 Adware-SearchSuite 1 133 810 PUP-MultiPlug 314 634 PUP-SoftPulse 209 813 Adware-iBryte 73 381 PUP-Crossrider 41 547 PUP-ShopperPro 33 382 Détections d'autres PUP 1 102 919 McAfee Labs a observé plus de 9 milliards d'échantillons de PUP en 2014. Les classements de Google, source d'enrichissement Tout comme les optimisateurs de moteurs de recherche (SEO, Search Engine Optimizers) s'efforcent d'améliorer les classements des sites pour gagner plus sur Google AdSense, les auteurs de PUP font de même avec les logiciels publicitaires en utilisant des raccourcis. Après avoir introduit des logiciels publicitaires sur les machines des victimes, les serveurs distants se connectent en secret par le biais de publicités piratées afin d'accroître le nombre de visites et ainsi élever le classement d'un site. Pour augmenter les chances de clics, les publicités distribuées aux machines compromises sont adaptées en fonction des centres d'intérêt des victimes. Des classements supérieurs permettent aux sites web d'apparaître en meilleure position dans les résultats de recherche Google avec, à la clé, une augmentation des revenus tirés des publicités. Une fois qu'un adware s'est propagé à des milliers de machines, ses fonctionnalités de clics de redirection et de piratage entrent en jeu, transformant l'application publicitaire elle-même en vecteur d'infection. Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 32 Points marquants Des stratégies agressives pour contenir les PUP Découvrez comment Intel Security peut vous aider à vous protéger contre cette menace. Pour permettre la classification systématique des PUP, McAfee Labs a mis au point une stratégie spécifique, qui est actualisée à mesure que les tactiques des auteurs de malware évoluent. Compte tenu du flou qui entoure certains fichiers PUP et des difficultés que pose leur classification, nombreux sont les éditeurs de solutions de sécurité qui développent des stratégies en la matière pour permettre aux chercheurs en menaces de classer ces programmes de manière plus systématique. Une stratégie en matière de PUP est un document qui fixe les règles d'évaluation, de classification et de détection de ces programmes. McAfee Labs revoit régulièrement sa stratégie dans ce domaine afin de l'adapter aux modifications introduites par les développeurs de programmes PUP. Pour aider les chercheurs de McAfee Labs à déterminer si des fichiers sont des programmes potentiellement indésirables, notre stratégie la plus récente s'appuie sur les critères suivants : ■■ ■■ ■■ ■■ ■■ La valeur qu'offre la technologie à l'utilisateur Le risque que présente la technologie pour l'utilisateur Le contexte de la technologie ou du composant La source ou le mode de distribution de la technologie La prévalence des abus par rapport à l'utilisation légitime de la technologie Les chercheurs de McAfee Labs examinent ensuite les points suivants : ■■ ■■ ■■ L'information donnée à l'utilisateur quant aux risques posés par le logiciel Le degré de consentement demandé à l'utilisateur vis-à-vis du comportement du logiciel Le degré de contrôle de l'utilisateur sur l'installation, le fonctionnement et la suppression du logiciel L'équipe de McAfee Labs passe au crible l'ensemble des fichiers d'un PUP à la recherche du programme d'installation principal. Elle reproduit l'installation en interne, de façon à permettre au programme d'installation de télécharger le package complet. Elle soumet ensuite ces téléchargements à une analyse approfondie et utilise la dernière stratégie en date en matière de PUP pour déterminer si l'application est légitime ou potentiellement indésirable. Dès lors qu'une application est classée en tant que PUP, les utilisateurs peuvent configurer leurs produits de protection des terminaux de façon à la bloquer ou à l'autoriser. Vous trouverez des conseils de configuration des terminaux en matière de programmes potentiellement indésirables ici. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 33 Statistiques sur les menaces Logiciels malveillants sur mobiles Logiciels malveillants Menaces web Donner votre avis Menaces ciblant la messagerie et les réseaux Statistiques sur les menaces Logiciels malveillants sur mobiles Nouveaux logiciels malveillants sur mobiles 900 000 800 000 700 000 600 000 500 000 400 000 300 000 200 000 100 000 0 1er trim. 2e trim. 3e trim. 2013 4e trim. 1er trim. 2e trim. 3e trim. 2014 4e trim. Source : McAfee Labs, 2015 Nombre total de logiciels malveillants sur mobiles 7 000 000 La collection de logiciels malveillants sur mobiles de McAfee Labs a continué d'augmenter régulièrement, pour dépasser les 6 millions d'échantillons au 4e trimestre, soit 14 % de plus qu'au 3e trimestre. 6 000 000 5 000 000 4 000 000 3 000 000 2 000 000 1 000 000 0 1er trim. 2e trim. 3e trim. 2013 4e trim. 1er trim. 2e trim. 3e trim. 2014 4e trim. Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 35 Statistiques sur les menaces Taux d'infection par des logiciels malveillants sur mobiles au niveau mondial 30 % Le taux d'infection par des logiciels malveillants sur mobiles présente de grandes variations au fil du temps, mais demeure relativement imposant, avec au moins 8 % de tous les systèmes atteints par une infection signalée depuis le 4e trimestre 2013. La hausse, puis la chute successive depuis le 4e trimestre 2013 sont essentiellement dues à la détection d'un réseau publicitaire unique, AirPush, considéré comme un programme potentiellement indésirable (PUP), à l'instar de nombreux réseaux publicitaires. 25 % 20 % 15 % 10 % 5% 0 4e trim. 2013 1er trim. 2e trim. 3e trim. 4e trim. 2014 Source : McAfee Labs, 2015 Taux d'infection par des logiciels malveillants sur mobiles par région — 4e trim. 2014 Pour ce rapport sur le paysage des menaces, nous avons examiné les données qui nous ont été communiquées par des terminaux mobiles sur lesquels sont installées des solutions McAfee de protection pour mobiles. Ces informations émanent de millions de terminaux mobiles à travers le monde. Le taux d'infection correspond à la mesure proportionnelle du temps pendant lequel un type quelconque de malware a séjourné sur un équipement mobile chargé de lui transmettre des données, suivant les détection effectuées par McAfee Labs. 12 % 10 % 8% 6% 4% 2% 0 Afrique Asie Australie Europe Amérique du Nord Amérique du Sud Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 36 Statistiques sur les menaces Logiciels malveillants Nouveaux logiciels malveillants 60 000 000 On enregistre 387 nouvelles menaces par minute, soit plus de 6 par seconde. 50 000 000 40 000 000 30 000 000 20 000 000 10 000 000 0 1er trim. 2e trim. 3e trim. 2013 4e trim. 1er trim. 2e trim. 3e trim. 2014 4e trim. Source : McAfee Labs, 2015 Nombre total de logiciels malveillants 400 000 000 Le nombre total de logiciels malveillants de la collection de McAfee Labs a augmenté de 17 % entre les 3e et 4e trimestres. À ce rythme, elle contiendra plus d'un demi-milliard d'échantillons d'ici le 3e trimestre 2015. 350 000 000 300 000 000 250 000 000 200 000 000 150 000 000 100 000 000 50 000 000 0 1er trim. 2e trim. 3e trim. 2013 4e trim. 1er trim. 2e trim. 3e trim. 2014 4e trim. Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 37 Statistiques sur les menaces Nouveaux logiciels de demande de rançon (ransomware) 400 000 Au 3 trimestre, le nombre de nouveaux échantillons de ransomware est reparti à la hausse après quatre trimestres de déclin. Au 4e trimestre, ce nombre a progressé de 155 %. On dénombre aujourd'hui plus de deux millions d'échantillons de ransomware. e 350 000 300 000 250 000 200 000 150 000 100 000 50 000 0 1er trim. 2e trim. 3e trim. 2013 4e trim. 1er trim. 2e trim. 3e trim. 2014 4e trim. Source : McAfee Labs, 2015 Nombre total de logiciels de demande de rançon 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 1er trim. 2e trim. 3e trim. 2013 4e trim. 1er trim. 2e trim. 3e trim. 2014 4e trim. Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 38 Statistiques sur les menaces Nouveaux logiciels malveillants de type rootkit 120 000 100 000 80 000 60 000 40 000 20 000 0 1er trim. 2e trim. 3e trim. 2013 4e trim. 1er trim. 2e trim. 3e trim. 2014 4e trim. Source : McAfee Labs, 2015 Nombre total de logiciels malveillants de type rootkit 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 1er trim. 2e trim. 3e trim. 2013 4e trim. 1er trim. 2e trim. 3e trim. 2014 4e trim. Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 39 Statistiques sur les menaces Nouveaux fichiers binaires signés malveillants 3 000 000 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 1er trim. 2e trim. 3e trim. 2013 4e trim. 1er trim. 2e trim. 3e trim. 2014 4e trim. Source : McAfee Labs, 2015 Nombre total de fichiers binaires signés malveillants 18 000 000 Après une brève chute des nouveaux fichiers binaires malveillants signés, la tendance est repartie à la hausse, avec une augmentation de 17 % au 4e trimestre. 16 000 000 14 000 000 12 000 000 10 000 000 8 000 000 6 000 000 4 000 000 2 000 000 0 1er trim. 2e trim. 3e trim. 2013 4e trim. 1er trim. 2e trim. 3e trim. 2014 4e trim. Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 40 Statistiques sur les menaces Menaces web Nouvelles URL suspectes 35 000 000 Le nombre de nouvelles URL suspectes a explosé au 3e trimestre. Cette hausse s'explique en partie par la multiplication par deux du nombre de nouvelles URL courtes, qui dissimulent souvent des sites web malveillants, ainsi que par une augmentation marquée des URL de phishing. Au 4e trimestre, le rythme d'apparition de nouvelles URL suspectes est revenu à un niveau habituel. 30 000 000 25 000 000 20 000 000 15 000 000 10 000 000 5 000 000 0 1er trim. 2e trim. 3e trim. 2013 URL 4e trim. 1er trim. 2e trim. 3e trim. 2014 Domaines associés 4e trim. Source : McAfee Labs, 2015 Emplacement des serveurs hébergeant du contenu suspect 3% 1% Moins de 1 % 15 % 46 % 35 % Amérique du Nord Europe et Moyen-Orient Asie/Pacifique Amérique latine Australie Afrique Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 41 Statistiques sur les menaces Nouvelles URL de phishing 3 000 000 Nous attribuons essentiellement cette hausse notable des nouvelles URL de phishing au 3e trimestre à une campagne de phishing russe pour la vente de médicaments, qui créait un sous-domaine distinct pour chaque destinataire. Cette campagne n'a pas été renouvelée au 4e trimestre. 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 1er trim. 2e trim. 3e trim. 2013 URL 4e trim. 1er trim. 2e trim. 3e trim. 2014 Domaines associés 4e trim. Source : McAfee Labs, 2015 Principaux pays abritant des domaines de phishing États-Unis Allemagne Royaume-Uni 27 % France 49 % Brésil Pays-Bas 2% 2% 2% Russie Canada 3% Autres 3% 4% 8% Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 42 Statistiques sur les menaces Nouvelles URL de spam 700 000 600 000 500 000 400 000 300 000 200 000 100 000 0 1er trim. 2e trim. 3e trim. 2013 URL 4e trim. Domaines associés 1er trim. 2e trim. 3e trim. 2014 4e trim. Source : McAfee Labs, 2015 Principaux pays abritant des domaines de spam États-Unis Chine 18 % 2% Allemagne 2% Hong Kong 3% 52 % 3% Japon 4% 4% Russie 12 % Pays-Bas Royaume-Uni Autres Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 43 Statistiques sur les menaces Menaces ciblant la messagerie et les réseaux La hausse soudaine des e-mails légitimes qui a débuté au 3e trimestre est due aux améliorations apportées à nos processus de collecte de données. Les chiffres des 3e et 4e trimestres ne sont pas directement comparables aux trimestres précédents, mais à l'avenir, nous disposerons d'une mesure historique plus précise du volume d'e-mails. Volume de spam et d'e-mails dans le monde (en milliers de milliards de messages) 12 10 8 6 4 2 0 1er trim. 2e trim. 3e trim. 2013 Messages de spam 4e trim. 1er trim. 2e trim. 3e trim. 2014 E-mails légitimes 4e trim. Source : McAfee Labs, 2015 E-mails de spam émanant des 20 principaux réseaux de robots (en millions de messages) Le 4e trimestre a enregistré une nette diminution du volume de spam émanant d'expéditeurs de réseaux de robots connus. Le réseau de robots Kelihos, extrêmement actif en 2013-14, a fait montre d'un comportement d'envoi plus sporadique à la fin de l'année dernière. De manière générale, la tendance au 4e trimestre était au déclin du spam lié à la vente de médicaments et à des promesses de gains rapides, et à l'augmentation du spam distribuant des charges actives malveillantes depuis des réseaux de robots jusque-là non identifiés. Partager ce rapport 1 500 1 000 500 0 1er trim. 2e trim. 3e trim. 2013 4e trim. 1er trim. 2e trim. 3e trim. 2014 Kelihos Slenfbot Snowshoe Gamut Darkmailer Festi Cutwail Asprox Darkmailer 2 4e trim. Autres Source : McAfee Labs, 2015 Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 44 Statistiques sur les menaces Principales attaques de réseaux 1% Les attaques du navigateur, les attaques par déni de service et les attaques en force demeurent les trois principaux types d'attaques réseau au 4e trimestre, même si les dénis de service ont diminué de près de moitié par rapport au 3e trimestre. Les attaques liées au protocole SSL ont augmenté de 4 % et Shellshock apparaît désormais en cinquième position dans notre graphique à secteurs, la popularité des attaques exploitant les vulnérabilités Heartbleed et Shellshock ne connaissant pas de fléchissement. 2% 1% Navigateur Déni de service 6% 5% 26 % 6% Attaque en force SSL Shellshock 12 % Balayage 22 % 18 % Appel de procédure à distance Débordement de mémoire tampon Porte dérobée (backdoor) Autres Source : McAfee Labs, 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Février 2015 | 45 À propos d'Intel Security Commentaires et suggestions Nous souhaiterions obtenir votre avis dans le but d'orienter notre travail à l'avenir. Si vous souhaitez nous faire part de vos impressions, cliquez ici pour participer à une courte enquête à propos du Rapport sur le paysage des menaces. Celle-ci ne vous prendra pas plus de cinq minutes. McAfee fait désormais partie d'Intel Security. Avec sa stratégie Security Connected, son approche innovante de la sécurité optimisée par le matériel et son réseau mondial de renseignements sur les menaces Global Threat Intelligence, Intel Security consacre tous ses efforts à développer des solutions et des services de sécurité proactifs et éprouvés, qui assurent la protection des systèmes, des réseaux et des équipements mobiles des entreprises et des particuliers du monde entier. Intel Security associe le savoir-faire et l'expérience de McAfee aux innovations et aux performances éprouvées d'Intel pour faire de la sécurité un élément essentiel de chaque architecture et plate-forme informatique. La mission d'Intel Security est de permettre à chacun de vivre et de travailler en toute confiance et en toute sécurité dans le monde numérique. www.intelsecurity.com Suivre McAfee Labs Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de McAfee. Les informations présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques. McAfee. Part of Intel Security. Tour Franklin, La Défense 8 92042 Paris La Défense Cedex France +33 1 47 62 56 00 (standard) www.intelsecurity.com Intel et le logo Intel sont des marques commerciales déposées d'Intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright © 2015 McAfee, Inc. 61755rpt_qtr-q4_0215