Spécial sécurité : octobre, bon mois pour les H1N1 binaires
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s'intéressent aux dernières livraisons statistiques des éditeurs d'outils de défense périmétrique. Des rapports en série qui montrent une évolution des menaces - virus, vers, spams et campagnes de hameçonnage (phishing) - pour mieux contourner les défenses. En ciblant des points faibles, comme les grandes entreprises handicapées par les temps de latence et les hiatus de diffusion liés aux politiques de déploiement de patchs. Une faille dont sait profiter Conficker.
Sommaire :
1 - Octobre, un bon mois pour les H1N1 binaires
2 - Symantec : des métriques encore plus effrayantes
3 - Microsoft : peur des scarewares, angoisse pour les professionnels
1) Octobre, un bon mois pour les H1N1 binaires
Les statistiques virales qui suivent sont le fruit d’une analyse effectuée par les techniciens de BitDefender, mais elles reflètent les métriques des principaux acteurs du milieu. A commencer par la constante et indétrônable troisième place d’un « papy » de l’infection, l’éternel Conficker/Downadup. Près de 5,3 % des ordinateurs semblerait en être infecté. La présence de ce ver pourrait être un excellent indicateur du succès (ou de l’insuccès) de l’antivirus gratuit de Microsoft. Une évolution statistique qui ne pourra sérieusement être prise en compte avant 6 ou 8 mois.
Si l’on peut considérer comme presque normale la "Confickerisation" du monde informatique, les deux premières causes d’infection sont, en revanche, un peu plus surprenantes. En tête des sondages, Trojan.Clicker.CM. 9,5 % des fichiers infectés, un record. Il s’agit là d’un vecteur que l’on ne rencontre généralement que dans les programmes « keygen » de « déplombage » de logiciels commerciaux, cracks et autres exécutables prétendant afficher des numéros de série surtout valides pour leurs propagateurs. Ce phénomène est d’autant plus intéressant que généralement, les infections « keygen » connaissent des pics durant les périodes de vacances scolaires et après les fêtes de fin d’année. Cette fois, la sortie de Windows Seven y est pour quelque chose. A nouveau programme populaire, nouvelle vague de « numéros de série garantis fonctionnels »…
Tout de suite derrière Clicker arrive Trojan.AutorunInf.Gen, avec 8,5 % des infections. Là encore, cette statistique est intéressante, car AutorunInf, comme son nom l’indique, utilise pour s’installer la fonction Autorun nécessaire à l’exécution automatique des programmes stockés sur les clefs USB ou les CD-Rom. Ce qui rappelle aux plus anciens chasseurs de virus, les premiers exploits cachés sur la « piste zéro » (ou les secteurs théoriquement non formatés) des disquettes. Les « virus bootstrap » croissaient et se multipliaient particulièrement dans les milieux du piratage de programmes. A noter que Conficker est également capable de se propager via des clefs USB, certains marins en ont fait la pénible expérience.
L’on est, sans tirer de plans trop alambiqués sur la comète, face à une preuve non pas de recrudescence des copies illégales, mais face au moins à un regain d’intérêt et une diversification des canaux de diffusions viraux en direction des réseaux de piratage.
Par ailleurs, l’on assiste à une forme de « contournement de la ligne Maginot » de la défense périmétrique classique. Les virus passent moins souvent par le canal traditionnel du Wan, de l’accès Internet, de la connexion réseau. Ils empruntent des moyens indiscutablement plus lents, moins massifs, mais visiblement plus efficaces, celui de la diffusion « à la main » de supports infectés. Cette stratégie permet d’éviter l’examen des fichiers par d’éventuelles passerelles de filtrage. Seul l’antivirus de station offre un dernier rempart de protection, rempart qui, même mis à jour, a prouvé ces derniers temps qu’il n’était pas toujours d’une efficacité absolue.
De manière lapidaire, l’on remarque que le rapport statistique tenu par Eset pour la période d’octobre établit le tiercé suivant : Win32/PSW.OnLineGames 9,5 %, Autorun 7,43 % et Conficker 5 %. Les deux éditeurs sont au moins d’accord sur l’identité des seconds et troisièmes « gagnants », qui caracolent tous deux en tête des sondages depuis bientôt plus d’un an.
2) Symantec : des métriques encore plus effrayantes
Deux autres rapports tout aussi instructifs ont été publiés par Symantec. L’un sur l’évolution du spam, l’autre sur les tendances du phishing.
Probablement pour marquer les esprits, cet éditeur vient d’inventer une nouvelle façon d’évaluer le volume de pourriel : il additionne le pourcentage de courriers faisandés réellement constaté et y ajoute celui des emails publicitaires « non sollicités » bloqués par les filtres situés sur les infrastructures. Le résultat vaut le détour, puisque le taux de spam dépasse les 120 % de l’étiage général du courriel. Ramené à un simple rapport spam/courrier effectif, le taux est stable, aux environs de 87 %. Autre manipulation fort intéressante des données, la « zone EMEA demeure le premier vecteur de génération de spam »… 28 % du volume mondial, contre 20 % provenant d’Amérique du Nord, 22 % d’Amérique du Sud et 23 % pour la zone APJ (Asie-Pacifique-Japon). Avec un œil européen, cela revient à dire que 40 % du spam est émis des Amériques, n’en déplaise au découpage des statisticiens. L’on note cependant un net accroissement des émissions de pourriel depuis certains pays relativement discrets jusqu’à présent. Et notamment le Vietnam, l’Inde, Taiwan ou la Thaïlande, dont la progression des émissions a très fortement augmenté au cours des trois derniers mois.
Côté phishing, le paysage technique change beaucoup. Le rendement devenant relativement plus faible, les campagnes s’automatisent de plus en plus, à tel point que 30 % des url d’escroquerie sont générées automatiquement (en croissance de 24 % sur le mois écoulé). Les USA conservent très nettement le titre de premier havre de phishing mondial, avec 36 % du volume émis (la France compte pour 5 % du volume mondial). Les courriels d’incitation rédigés en d’autres langues que l’anglais sont, par ordre de fréquence, écrits en italien et en français. Arrivent loin derrière les emails en chinois, espagnol, portugais et allemand. Détail amusant, les pics hebdomadaires de production de phishing sont généralement constatés le vendredi, jour de poisson. En données absolues, le phishing traditionnel ne représente plus, estiment certains experts, que 1% du total du volume du spam.
3) Microsoft : peur des scarewares, angoisse pour les professionnels
Microsoft publie son septième Microsoft Security Intelligence Report (SIR). Deux tendances notables y sont dégagées. En premier lieu une augmentation de 100 % d’un trimestre à l’autre des infections par vers. Ensuite, une chute notable des « faux outils de sécurité » (-20 %).
Grignotages de vers en hausse, donc, tout comme l’ont fait remarquer les autres éditeurs d’antivirus. Une croissance marquée par une recrudescence des infections véhiculées par supports physiques, clefs USB notamment. Conficker, classé numéro 3 « toutes catégories confondues » par les principaux vendeurs d’outils de défense périmétrique, n’est, quant à lui, « même pas classé dans les 10 premiers vecteurs d’infection si l’on ne considère que le secteur grand public ». Une explication fort simple à cette métrique à contre-courant : les particuliers sont de plus en plus et de mieux en mieux protégés par les mises à jours automatiques… Conficker est devenu spécifiquement un ver s’attaquant aux entreprises et qui profite des temps de latence et des hiatus de diffusion liés aux politiques de déploiement de patchs mis en œuvre dans les grandes entreprises.
Autre chiffre relativement optimiste : la forte régression du ver Zlob, qui n’a compté « plus que » 2,3 millions de désinfections enregistrées au cours du semestre, contre près de 21 millions de détections au plus fort de son activité il y a près de 2 ans.
En France, précise le communiqué de l’éditeur, « sur le premier semestre 2009, le taux d’infection était de 7,9 (soit 7,9 systèmes infectés pour 1 000 systèmes traités par le MSRT). Ce taux est inférieur de moins de 1 point à la moyenne mondiale (8,7). Les infections dues à des malwares ont encore augmenté de manière significative, 79,6 % des ordinateurs infectés au 1er semestre 2009 l’étaient par des malwares contre 61,2 au 2èmesemestre 2008. Les infections par chevaux de Troie ont été détectés sur 34,4 % des PC infectés, soit une croissance de 24,7 % par rapport au second semestre 2008 ». Ces dernières représentent 8 des 25 familles d’infections majeures détectées.