McAfee liste les grandes menaces qui ont marqué l´année
2006 et pour lesquelles l´équipe AVERT envisage un accroissement du risque en 2007. Avec
plus de 217 000 vers, virus et chevaux de Troie connus et des milliers d´autres qui restent à
identifier, petits délinquants et organisations mafieuses diffusent toujours plus de logiciels
malveillants.Voici, sans ordre de prévalence, les 10 principaux points à surveiller :
1. Le phishing augmente. Les sites miroirs sont de plus en plus nombreux. A côté des
banques, les sites d´achat en ligne sont des cibles de plus en plus prisées. Il faut
aussi prendre garde aux faux sites honorables.
2. Face au courrier utile, le pourcentage de courrier indésirable (spam) s´accroît en
nombre et en volume. Avec de plus en plus d´images, l´encombrement des réseaux
peut devenir, ici ou là, préoccupant.
3. Le succès du partage de vidéos sur le Web attire la communauté des hackers. La
possibilité de s´attaquer à une nouvelle audience, dans un but lucratif, incite les
auteurs de logiciels malveillants à exploiter ces réseaux.
4. Lentement mais sûrement, les attaques sur les téléphones portables se développent.
Il s´agit fréquemment d´attaques croisées où un PC sous Windows entre en jeu.
5. La nature exacte des logiciels d´affichage publicitaire et de profilage (adwares) reste
méconnue du grand public. La frontière entre programmes potentiellement
indésirables (PUP) et programmes malveillants s´amenuise.
6. Le vol d´identité se déplace vers le poste client. Le nombre de chevaux de Troie
explose.
7. Les robots restent l´un des programmes favoris des cyber-criminels. Après les avoir
utilisés comme outil d´attaques, émetteurs de spams et plate-forme d´installation
d´adwares, ils s´en servent également pour collecter des données personnelles.
8. De « vrais virus », infecteurs de fichiers, reviennent discrètement sur le devant de la
scène.
9. L´utilisation des rootkits ne cesse de progresser. En 2007, l´efficacité des techniques
de protection et de réparation dans les environnements 32bits devrait se généraliser.
L´arrivé de versions Windows Vista 64bits risque de troubler ce précaire équilibre.
10. Il existe un marché des vulnérabilités. Plus on en cherche, plus on en trouve. Le
nombre d´exploits « 0-day » est en forte croissance. C´est un phénomène majeur.
« En quelques années, les ordinateurs sont devenus un élément essentiel de notre vie et
une source importante d´échanges commerciaux. Les professionnels du crime l´ont vite
constaté, et par la création et l´utilisation de programmes malveillants, ils y trouvent à leur
tour des opportunités pour de nouveaux revenus financiers », déclare François Paget,
chercheur de McAfee Avert Labs. « Avec une sophistication croissante des attaques,
l´utilisateur a de plus en plus de mal à identifier les menaces. Il doit être de plus en plus
attentif à la cohérence de ses divers outils de protection. »
Aujourd´hui, les chercheurs de McAfee voient dans la sophistication des logiciels malveillants
actuels des preuves de la présence d´une organisation de type criminel, avec des équipes
distinctes qui se chargent de la création, des tests, de l´automatisation des mises à jour et de
leur dissémination périodique. Des méthodes sophistiquées apparaissent ou resurgissent. Le
polymorphisme, les infections parasites (virus par ajout), les rootkits et les systèmes
automatisés de cryptage et de compactage périodique permettent de mieux gérer la durée
de vie des différentes versions d´un même programme. Le chiffrement, la compression et la
furtivité offrent aussi une meilleure dissimulation des buts précis et des liaisons qu´établisse
chacun de ces programmes vers leurs concepteurs.
En juillet 2006, McAfee annonçait qu´à côté des détections génériques et heuristiques, ses
fichiers de signature venaient juste de dépasser la barre symbolique des 200 000 menaces
connues. Depuis le 1er janvier 2006, l´équipe McAfee Avert a ajouté environ 50 000 nouvelles
détections dans sa base. Elles devraient atteindre le chiffre de 225 000 pour la fin de
l´année. Si le rythme actuel se poursuit, la 300 000ème menace sera identifiée fin 2007, ce qui
laisse prévoir une augmentation du nombre des programmes malveillants recensés d´une
année sur l´autre.
Prévisions de McAfee Avert Labs pour 2007Poursuite du phishing et apparition de faux sites honorables
En 2007, les attaques visant à s´approprier les noms et les mots de passe qu´utilisent les
internautes sur des sites sécurisés vont se poursuivre et s´amplifier. Les sites d´achat en
ligne comme eBay seront des cibles privilégiées. L´apparition de faux sites honorables est
aussi prévisible. L´augmentation du phishing après le passage du cyclone Katrina laisse
supposer que de nombreuses attaques chercheront à profiter de la générosité du public. Par
le biais d´un courrier non sollicité, il risque d´être entraîné vers des sites qui, derrière une
apparente sophistication, une bonne interactivité et de nombreuses informations présentées
de manière professionnelles tenteront de le séduire. Outre le monde caritatif, les faux sites
financiers simplement accessibles après la sollicitation d´un moteur de recherche risquent de
faire bon nombre de victimes. Les attaques visant les fournisseurs d´accès en ligne devraient
diminuer. Celles contre le secteur financier restent stables.
Le spam se développe et il utilise de plus en plus d´images
En novembre 2006, le spam par images représente environ 40 % du total, contre moins de
10 % il y a un an. Ce type de spam a progressé notablement ces derniers mois et diverses
catégories de spam ont abandonné le mode texte pour basculer sur l´image. On retrouve
dans cette catégorie les messages destinés à modifier le cours de certaines actions (pumpand-
dump), à vendre des médicaments ou des diplômes. Un spam par image est
généralement trois fois plus important qu´un spam par texte. Ceux ci participent donc à
l´encombrement des bandes passantes.
Le succès de la vidéo sur le Web va attirer les piratesContrairement aux pièces jointes à un e-mail, la plupart des gens ont tendance à ouvrir sans
hésiter un fichier vidéo. Le succès croissant des blogs vidéo au travers des plates-formes
communautaires comme MySpace, YouTube ou VideoCodeZone commence à attirer les
auteurs de logiciels malveillants alléchés par la perspective de viser un nouveau public.
Le ver W32/Realor, découvert début novembre 2006 par McAfee Avert Labs, est un exemple
récent de ce genre d´attaque. Il modifie les fichiers RealMedia en insérant une adresse URL
automatiquement appelée à l´ouverture du fichier. Dans cet exemple, la page en question
exploitait une vulnérabilité d´Internet Explorer entraînant l´exécution silencieuse d´un
programme malveillant. On voit ainsi que la simple visualisation d´un clip vidéo peut se
solder par l´implantation d´un robot ou d´un logiciel espion. Au début de l´année 2006,
plusieurs logiciels publicitaires ont profité d´une vulnérabilité « 0-day » du logiciel WinAmp
5.12 (CVE-2006-0476 - Exploit-WinAmpPLS) pour s´implanter avec un minimum d´interaction
pour l´utilisateur.
Davantage d´attaques sur les mobiles, le PC sert d´intermé diaireLa convergence des plates-formes favorise le développement des menaces mobiles. Le
smartphone a joué un rôle primordial dans l´évolution des menaces depuis les ordinateurs de
bureau et les premiers portables vers les équipements mobiles. La multiplication des
possibilités de connexion (BlueTooth, SMS, messagerie instantanée, e-mails, Wi-Fi, USB,
audio, vidéo et Web) n´a fait qu´augmenter les risques d´infection entre les divers appareils.
En 2006, nous avons constaté des avancées dans tous ces domaines. MSIL/Xrove.A,
programme écrit pour le framework .NET, a permis, via le logiciel de synchronisation
ActiveSync, l´infection d´un smartphone depuis un PC. Pour le moment, les vecteurs de
propagation croisés restent simplistes. Ils passent souvent par une carte mémoire lue, tour à
tour, par les deux équipements. McAfee s´attend cependant à de nouvelles avancées en
2007. Tout comme ailleurs, elles ne se multiplieront qu´à partir du moment ou leurs
concepteurs y verront un moyen pour gagner facilement de fortes sommes d´argent.
Il en est ainsi du SMiShing (phishing par SMS). En août 2006, McAfee Avert Labs a reçu le
premier échantillon d´une attaque de ce type dans laquelle un virus de script était utilisé
comme émetteur. Se propageant dans le monde Windows, sous le nom de
VBS/Eliles.A@MM, ce mass-mailer avait comme objectif l´envoi, depuis les PC infectés, de
SMS incitant à la visite d´un site malveillant. Fin septembre 2006, le ver comptait déjà quatre
variantes.
Parmi les nombreux programmes plus conventionnels, il existe beaucoup de chevaux de
Troie qui ne sont que de simples variantes de programmes eux-mêmes peu complexes et
sans objectif précis. Au cours du premier trimestre 2006, avec J2ME/Redbrowser, l´appât du
gain devint, là aussi, un motif. Se présentant comme un programme capable de visualiser
des pages WAP sans connexion GPRS, il cherchait à envoyer des SMS vers des numéros
surtaxés. Apparue fin 2006, J2ME/Wesber, une autre application Java 2 Micro Edition, agit
de même.
Cette fin d´année a également vu une floraison de logiciels espions visant le monde mobile.
La plupart sont conçus pour surveiller les numéros appelés et les expéditeurs des SMS.
Certains s´intéressent aux contenus et les envoient en copie vers d´autres téléphones. Citons
le cas de SymbOS/Flexispy.B, qui peut activer à distance le micro sur l´appareil infecté, pour
espionner ce que dit l´utilisateur. D´autres peuvent activer la fonction d´appareil photo. En 2007, McAfee s´attend au développement de spywares commerciaux destinés aux systèmes
mobiles. L´adware reste méconnu du public, il peut parfois s´apparenter à de la malveillance
Dans le domaine du marketing publicitaire, l´année 2006 n´a été fertile ni en annonces, ni en
évènements marquants. Après une forte augmentation en 2005 et jusqu´au début 2006, leur
nombre stagne depuis plus de 6 mois. Le danger vient de ce que le public français ne sait
toujours pas ce qu´est un adware. Il dit souvent qu´il n´en a pas rencontré alors qu´il en a sur
son PC et qu´il vit, plus ou moins bien, avec. La frontière entre le légal et le répréhensible est
difficile à cerner et les législations varient d´un pays à l´autre. On voit de plus en plus
d´adwares (sur des sites étrangers) qui sont diffusés au travers de vulnérabilités. Il y a aussi
beaucoup d´affiliés crapuleux qui utilisent des réseaux de robots (botnets) ou des chevaux
de Troie pour les diffuser.
En dépit des contraintes sociales, légales et techniques, l´intérêt commercial de la publicité
est tel que McAfee s´attend à une poursuite des activités dans ce domaine. La pression des
utilisateurs pourrait cependant apporter un peu plus de déontologie dans ce secteur.
Proche de l´adware de par ses origines commerciales, McAfee a constaté une augmentation
de l´usage malintentionné de logiciels commerciaux de surveillance (spywares). Souvent
proposés dans des buts légitimes (tel que le contrôle parental), ils sont détournés de leur
usage et servent d´enregistreurs de frappe et de logiciels furtif de contrôle à distance.
Le vol d´identité et les fuites de données continueront d´être un problème majeur
Selon la Federal Trade Commission des États-Unis, environ 10 millions d´Américains sont
victimes chaque année du vol d´identité. La cause en est souvent le vol d´ordinateurs, la
perte de sauvegardes ou le piratage des systèmes. Le nombre de victimes devrait rester
relativement stable alors que le sujet commence à inquiéter le public. En 2005 et en 2006,
les vols ou les disparitions de fichiers concernaient des informations personnelles
regroupées sur un même support et impactant des milliers de personnes au travers des
sociétés qui étaient la cible de ces attaques. Depuis plusieurs mois les intrusions se
déplacent vers les postes client. Elles ciblent l´individu et gagnent en sophistication.
McAfee Avert Labs a constaté une croissance exceptionnellement forte des chevaux de
Troie. Il s´agit principalement d´enregistreurs de frappe (keyloggers), de voleurs de mots de
passe (password-stealers), de robots et de portes dérobées (backdoors).
Persistance des robotsLes robots sont des programmes malveillants permettant une prise de contrôle à distance de
machines vulnérables afin de former un réseau d´attaque caché (ou botnet). Ils effectuent, en
groupe, des tâches automatisées. L´utilisation des canaux IRC (Internet Relay Chat) comme
moyen de pilotage est en recul. Plus discret, il se fait de plus en plus au travers du flux HTTP
sur le port 80.
Après avoir été utilisés comme outil d´attaques, émetteurs de spams et plate-forme
d´installation d´adwares, les robots servent aujourd´hui à la collecte de données
personnelles. C´est une des raisons qui a amené au développement d´une nouvelle famille
d´escrocs qui agissent parfois sans bien imaginer les risques judiciaires qu´ils encourent. Ce
sont des “mules” (ou passeurs). Engagés comme travailleurs à domicile, ils sont indispensables pour ceux qui pilotent les robots. Leur recrutement se fait via des sites Web
d´apparence professionnelle, des petites annonces et même de la messagerie instantanée.
Ces intermédiaires sont essentiels pour comprendre comment un administrateur de botnetsréussi à gagner de l´argent en récupérant de l´information sur des machines situées aux
antipodes de son lieu de d´activité. Les mules sont rémunérées pour effectuer toutes les
activités que leur employeur ne peut faire depuis son pays d´origine. Elles récupèrent pour lui
les marchandises qu´il a acheté et dont il va localement sous-traiter la revente. Elles servent
d´intermédiaire pour la réception des virements bancaires émanant de comptes piratés.
Dernier avantage, et non des moindres, ce sont les mules qui prennent les risques alors que
le commanditaire reste intouchable dans son pays.
Le retour des « vrais virus »
Agissant par ajout, par recouvrement ou selon la méthode dite « à cavité », les virus
infectant d´autres programmes représentent moins de 10 % de l´ensemble des malwares.
Quelques nouvelles souches intéressantes ont été repérées en 2006. Tout comme leurs
ancêtres, ils ne peuvent pas fonctionner de manière indépendante. L´exécution du
programme hôte est indispensable à leur activation Par analogie avec leurs cousins
biologiques, ils se multiplient plus ou moins abondamment au sein des environnements qu´ils
ciblent. W32/Bacalid, W32/Polip et W32/Detnat en sont trois exemples identifiés en 2006.
Furtifs et polymorphes, ils tentent de télécharger d´autres éléments malveillants depuis des
sites Web compromis.
Début novembre est également apparu W32/Kibik. S´appuyant sur une installation silencieuse via une attaque du type « 0-day », ce virus reste étrange quant à ses objectifs.
Furtif et discret, il n´infecte qu´un ou deux éléments de l´ordinateur et effectue une recherche
innocente sur Google Blog Search. Aujourd´hui, cette requête n´abouti à aucun résultat. Elle
préfigure peut-être une nouvelle méthode de contrôle à distance.
Plus de rootkits, mais de meilleures parades
Le nombre de rootkits ciblant les environnements 32 bits est en constante augmentation.
L´anti-virus s´est adapté et nous proposons maintenant des fonctions efficaces de protection
et de réparation. Pour les systèmes 64 bits, particulièrement Vista, les tendances sont
difficiles à cerner. Elles sont tributaires de leur adoption par un large public. D´une manière
générale, McAfee Avert Labs s´attend dans ce domaine à :
· une diminution des rootkits en mode kernel. Il ne s´agit que du court terme ; les
auteurs de logiciels malveillants inventeront plus ou moins vite de nouvelles
méthodes pour contourner PatchGuard ;
· un développement des rootkits en mode utilisateur et plus généralement des logiciels
malveillants intégrant directement cette fonctionnalité dans leur code. Les méthodes
heuristiques et comportementales avancées étant elles-mêmes contrariées par
PatchGuard, quelques surprises désagréables risquent d´apparaître en ce domaine.
Cette situation persistera au moins jusqu´au déploiement de Vista SP1, lorsque les
nouvelles API introduites par Microsoft rectifieront la situation et que les éditeurs
auront eu la possibilité de revoir leurs logiciels de sécurité en fonction de celles-ci.
Les vulnérabilités resteront un souciPlus on cherche de vulnérabilités, plus on en trouve. Le nombre de vulnérabilités annoncées
a fait un bon énorme entre 2004 et 2005. La tendance, identique pour 2006, devrait se
poursuivre au-delà.
En 11 mois, Microsoft a répertorié 140 vulnérabilités. McAfee Avert Labs annonce que ce
nombre va augmenter, d´une part avec l´usage croissant des « fuzzers », logiciels ayant pour
but d´automatiser la recherche de failles, et d´autre part, à cause de programmes de primes
et des concours qui récompensent ou simplement honorent les découvreurs de
vulnérabilités. Rien que cette année, Microsoft a patché plus de vulnérabilités critiques qu´en
2004 et 2005 réunies, soit 62.
McAfee Avert Labs a par ailleurs constaté une tendance aux attaques du type « 0-day ».
Nombre d´entres elles se produisent juste après la publication mensuelle des patches par
Microsoft. Ces mises à jour n´étant publiées qu´une fois par mois, il est avantageux, pour un
cyber-criminel, d´exploiter une faille non couverte peu après cette date pour bénéficier d´une
durée d´exploitation optimale.
Recommandations de McAfee Avert LabsPour lutter contre toutes ces menaces, McAfee Avert Labs recommande aux entreprises et
aux particuliers de garder leurs fichiers DAT à jour, d´installer les derniers patches et de
mettre en oeuvre une stratégie en plusieurs couches pour détecter et bloquer les attaques.
Pour plus d´informations sur une menace donnée, ou pour en savoir plus sur les opinions et
les recherches de pointe dans le domaine de la sécurité, veuillez consulter le blog de
McAfee Avert Labs sur la sécurité,
http://www.avertlabs.com/research/blog/.
McAfee Avert Labs fait partie des organismes les plus renommés au monde en matière de
lutte contre les virus et les vulnérabilités. Ses chercheurs sont répartis dans dix-sept villes et
douze pays. Il dispose d´experts dans l´étude des virus et autres codes malicieux ainsi que
de l´expertise en matière de prévention des intrusions et de détection des vulnérabilités.