Spécial sécurité : menaces, quand les "stats" se ramassent à la pelle
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, font d'une pierre trois coups, en passant au crible les récents bilans de la sinistralité informatique publiés par IBM, F-Secure et Finjan. Des bilans qui tombent à pic alors que se préparent les budgets sécurité dans les entreprises. Et qui montrent la désaffectation des cybercriminels pour certaines vieilles techniques, comme le phishing, mais au profit de méthodes plus radicales, et surtout plus difficiles à contrer.
Sommaire :
1 - Sinistralité Q1-Q2 2009, le monde selon IBM
2 - Sinistralité Q3 2009, le monde selon F-Secure
3 - Sinistralité Q3 2009 ; le monde selon Finjan
1) Sinistralité Q1-Q2 2009, le monde selon IBM
L’automne, c’est la saison des « stats », des bilans, des rapports. Peu de temps avant que ne soient discutés les budgets sécurité 2010, comme par hasard. Malgré l’orientation de certaines de ces études, réalisées par des entreprises du sérail, il se dégage une certaine cohérence des observations. La crise aidant, les cybertruands deviennent plus méthodiques, plus efficaces, et surtout travaillent à plus grande échelle, quitte à abandonner du jour au lendemain une « vieille technique qui a fait ses preuves » pour une méthode plus radicale et parfois plus violente. Place aux chiffres.
C’est au cours d’une conférence de presse organisée en fin de semaine dernière qu’IBM, en la personne de Jean-Paul Ballerini, a publié les résultats de la Xforce d’ISS. Une analyse chiffrée dont les métriques sont parfois surprenantes par leur démesure : 3200 vulnérabilités déclarées durant la première moitié de 2009. Un chiffre en baisse par rapport à l’an passé, mais qui masque mal une véritable montée en puissance du nombre d’exploitations, notamment des injections SQL et des attaques ActiveX. Proportionnellement parlant, précisent les bénédictins de l’ISS, 50,4 % des vulnérabilités répertoriées sont celles d’applications Web. Reste que la palme de la plus belle exploitation, la plus populaire auprès des auteurs de malware, est indiscutablement celle qui tire parti d’une des nombreuses failles ayant, durant ces 6 derniers mois, affecté le format PDF.
Si l’on considère le problème sous l’angle des grandes familles de vecteur d’agression, ce sont les Troyens qui arrivent en tête, avec 55 % des attaques constatées. Dans la catégorie techniques d’exploitation, les liens Web « pourris » (redirections malignes) ont crû durant le premier semestre 2008 de plus de 508 %. A noter que dans cette catégorie, de très importants changements sont survenus dans le paysage de la cyberdélinquance mondiale. Après une violente montée en puissance durant les mois de juin-juillet-août, le phishing s’est brusquement effondré, concurrencé par de nouvelles techniques d’attaques financières. Aujourd’hui, le phishing ne représente plus que 0,1 % du volume de spam mondial.
D’où viennent ces failles ? D’un nombre restreint d’éditeurs affirme IBM. 24 % des vulnérabilités publiées proviennent du top 10 des vendeurs de logiciels. Par ordre d’importance, Microsoft, Apple, Sun et Joomla, qui ont totalisé respectivement, tout au long de l’année 2008, 3,16 ; 3,04 ; 2,19 et 2,07 % des trous de sécurité « officiels ». A noter, pour la période du premier trimestre 2009, que le tiercé gagnant était établi, dans l’ordre, par Apple (3,8 %), Sun (3,6 %) et Microsoft (3,1 %), un renversement de tendance peut-être purement conjoncturel, mais assez surprenant pour qu’il soit mentionné.
Plus inquiétant sont les résultats du recensement des correctifs visant à colmater les failles susmentionnées. Près de 49 % des vulnérabilités découvertes Q1-Q2 2009 n’étaient pas corrigées au bout des 6 mois considérés. Le « grand vainqueur » dans cette course au trou béant est la communauté Joomla, avec 80 % de failles non « fixées ». Apple vient en seconde place, avec 18 % de failles laissées béantes, talonné par Microsoft avec 17 % de trous « connus mais non bouchés ». Il faut, comme à l’accoutumée, lire ces chiffres avec une prudence extrême. Si l’on peut affirmer sans se tromper que les applications Web 2.0 mal entretenues (Joomla) sont à coup sûr de formidables vecteurs d’infection, les 17 à 18 % de trous béants chez Microsoft et Apple sont souvent des bugs soit non exploitables, soit de conséquences mineures (quoi que les événements récents, IIS-ftp, smbv2, tendent à prouver le contraire).
Un dernier chiffre pour la route ? Probablement celui qui fera le plus plaisir à l’Owasp : de manière générale, les attaques se répartissent comme suit : 75 % (en volume) visent les applications Web et 25 % tentent de s’introduire via les « couches réseau ». Comparativement, les budgets alloués aux investissements de défense sont à 90 % affectés au poste réseau et à 10 % dédiés aux applications Web.
2) Sinistralité Q3 2009, le monde selon F-Secure
Chez F-Secure, le survol du trimestre est assez télégraphique. Mais les points soulignés sont importants et constituent peut-être la synthèse la plus complète et la plus objective du moment.
La première chose que fait remarquer l’éditeur d’antivirus finlandais, c’est que le dernier trimestre sera « systèmes » ou ne sera pas. Sortie de Snow Leopard d’Apple et de Windows 7 Microsoft, propagande marketing autour du futur (et très science-fictionnesque) Google Chrome OS : l’année s’achève sur un sac de noyaux. Espérons que les vers y trouveront moins refuge. Un point important est à remarquer ; tant Snow Leopard que Windows 7 se présentent plus comme des versions « déboguées » des précédentes éditions Leopard et Vista que comme de véritables « nouvelles versions ». Chez Apple, cette super-mise à jour est vendue 30 $ en « upgrade », chez Microsoft, on fait sentir du côté du portefeuille toute la différence qu’il y a entre une « release » et une « silent release ».
Q3 fut également l’occasion de voir quelques changements du côté de la guerre des moteurs de recherche (contrat décennal Microsoft/Yahoo pour promouvoir Bing). Côté malware, F-Secure chante un couplet sur la montée en puissance des attaques ciblant ou exploitant les réseaux sociaux (Twitter, Facebook), et entame un long lamentoso sur les attaque par SEO (Search Engine Optimisation) en profitant des vagues de décès de quelques célébrités (Michael Jackson, Farrah Fawcett, Patrick Swayze) pour mieux vendre de l’antivirus marron. Ce même sujet fait l’objet d’un rapport détaillé de la part d’un autre professionnel de la sécurité, Finjan (voir ci-après).
3) Sinistralité Q3 2009 ; le monde selon Finjan
Un panorama plus qu’un rapport froid et concis, chez Finjan. Un panorama focalisé sur trois volets, séparés en trois études. Le premier panorama (ainsi mentionné au fil du précédent article) s’intéresse à cette mécanique complexe que sont les campagnes de vente de faux antivirus. Elles combinent les SEO, pour que les Google et autres Bing finissent par conduire l’internaute sur un site compromis, et une forme de collusion malhonnête entre des tribus de webmestres « rabatteurs » (qui perçoivent en moyenne 10 % du prix du faux antivirus vendu) et industriels de l’escroquerie en ligne.
Le second volet s’attache quant à lui au botnets et à la monétisation des réseaux d’attaque (diffusion de malwares, de spams, etc). Loués à l’heure, au mois, par continent ou par pays, par tranche de 1000 machines ou au prix de gros, ces réseaux de zombie se créent et s’étendent en permanence par le biais de rootkit eux-même déposés par des sites de contamination utilisant un détournement iFrame sur des sites légitimes. Une fois enrôlé dans cette armée, l’ordinateur zombifié est « revendu » sur des places de marché underground et « mis à jour » selon les désirs de chacun de ses locataires.
Le troisième acte de cette pièce de Grand Guignol s’ouvre sur les attaques bancaires, les troyens voleurs de mots de passe et le travail des « mules ». Tous les experts s’accordent à dire que le phishing est en chute libre. Cette forme artisanale de récupération des crédences bancaires –de jour en jour plus aisément détectée - cède le pas à l’exploitation quasi-industrielle de virus de plus en plus spécialisés dans la récupération de crédences, et dont la furtivité pose un véritable défi aux vendeurs de protections périmétriques. Petite visite guidée donc au pays des « crimeware toolkits », de leurs CnC (centre de commande et de contrôle) et du circuit des « mules », ces seconds couteaux chargés de ponctionner les comptes bancaires piratés.
Le bilan Finjan est plus didactique, plus axé sur les exemples que sur les statistiques, mais tout comme les autres rapports trimestriels, il synthétise bien l’évolution des techniques et le radicalisme de la cyberdélinquance.
En complément :
hURLzone : le cheval de Troie qui pioche - avec intelligence - dans les comptes bancaires