Bilan et tendance des malwares chez Kaspersky

Transcription

1 Bilan et tendance des malwares chez Kaspersky Rédigé par Marc Rees, Le 04 février 2010 Entre le 28 et le 31 janvier, nous avons été conviés à rencontrer plusieurs personnalités de Kaspersky Lab à Moscou. Objectif : tirer un bilan de lannée passée, mais aussi découvrir les principales tendances et évolutions du secteur de la sécurité informatique. Les quatre jours furent ponctués de rencontres, mais également loccasion de visiter le siège de KL dans la banlieue de la capitale russe bercée par une "douce" température revigorante. Dès le premier jour, nous avons pu rencontrer Eugène Kaspersky, emblématique PDG de cet éditeur classé au 4e rang mondial. Lannée 2009 fut celle de la crise économique. En avez vous souffert, lui a t on demandé? Oui et non. Oui, bien sûr car les consommateurs sont devenus moins enclins à acquérir de nouveaux logiciels et les entreprises elles aussi, comptent chaque licence. Nous poursuivons nos activités, grignotons des parts de marché, mais pas aussi rapidement que dans le passé. Dans le même temps, il est facile de vivre dans cet environnement en crise puisque beaucoup déléments deviennent moins chers. Il est de plus facile de trouver des ingénieurs issus de sociétés ayant quitté le marché. La société qui exporte beaucoup se dit dailleurs indépendante du marché monétaire local. Nous estimons cette période comme une opportunité pour développer notre business. De là ce constat : Nous nous ne considérons plus comme une société russe. La société est devenue de plus en plus internationale. La moitié de nos employés ne sont pas russes, et résident à létranger. Nous nous considérons plus comme une société internationale, globale que russe, même si la plupart des actionnaires sont russes. Ces derniers mois nauront évidemment pas été seulement marqués par la crise. Larrivée de Microsoft fut un évènement qui na pas laissé insensible ces acteurs dautant que KAV et Microsoft sont des partenaires technologiques et commerciaux de longue date : Microsoft est une superbe société avec des superbes produits, mais qui fait parfois des erreurs. Lantivirus Microsoft est une de ces erreurs. Dans lesprit de Kaspersky, chaque société doit rester sur son terrain de prédilection, Apple étant lexception qui confirme la règle. Vous devez concentrer votre attention sur un thème ou les confier à des sociétés indépendantes. Lerreur aussi autour du marketing. Microsoft antivirus, cest comme du "petrol aqua mineral" (nous laissons lexpression dans son jus, pour sa saveur). Microsoft est cependant en situation monopolistique sur ce marché, difficile pour le consommateur daller voir ailleurs quand il trouve tout à Redmond, à portée de main Pour nous ce nest pas un problème, mais un challenge. Microsoft développe des logiciels pour une plateforme, nous en développons aussi pour Linux, Mac OS, des plateformes mobiles où il ny a pas de vraie domination, le marché est davantage partagé. Sur ce terrain, Eugène Kaspersky estime que sil y a moins de malware sur ces plateformes, cela ne tient pas aux systèmes dexploitation, mais simplement parce quil y a moins de services. Une situation qui 1/6

2 devrait cependant changer nous le dira plus tard léditeur. Lanonymat, principal problème sur internet? Dans une interview à CNet qui navait pas laissé insensible, Eugène Kaspersky avait expliqué que lun des principaux problèmes sur internet est lanonymat. Un arbitrage sans détail donc, dans lopposition entre anonymat et sécurité. Le PDG de Kaspersky revient sur ce point : le principal problème est que les internautes nont pas de système didentification. Je ne veux pas que chaque personne ait à présenter leur identité mais chacun doit avoir léquivalent dun permis de conduire. Objectif? Attraper les mauvaises personnes. Cest comme en voiture : quand vous conduisez, vous être anonyme du moins tant que vous ne violez pas la loi. La police ne sintéresse à vous que dans cette hypothèse, mais avant vous être anonyme. Sur internet, je pense, nous devons avoir la même chose : vous devez avoir une carte et révéler votre nom au FAI. Dans cette vision, vous pouvez continuer à utiliser un pseudonyme comme vous le faites aujourdhui. Vous devez simplement présenter votre identité à votre FAI lequel doit le sauvegarder. A charge pour les intermédiaires techniques de la révéler à la demande des autorités Aucune crainte de voir des pays comme la Chine profiter de cette possibilité pour emmurer la liberté dexpression? Réponse en demi teinte : La plupart des internautes pensent quils sont anonymes aujourdhui : non! Seuls les criminels le sont. La mesure naurait donc dimpact que pour les criminels, dans lesprit deugene Kaspersky. Cette mesure ne vise pas à tracer les personnes ordinaires : on peut déjà les tracer de toute façon. Et le PDG de KAV de nous citer le cas dalfred Hightower qui accusé de trafic de drogue aux États Unis était parti au Canada. Il fut cependant retrouvé par lusage de son pseudonyme sur Word of Warcraft... Personne nest anonyme excepté les cybercriminels répète t il. Mais comment implémenter cette mesure, lui demandons nous? Carte électronique, lecteur électronique, système de reconnaissance, lexemple des systèmes de vote électronique est également cité. Open source ou source fermée? Sur le thème de la sécurité, nous demandons à Eugène également si lusage des logiciels à source ouverte est susceptible de protéger davantage contre les malwares. Réponse catégorique : aucune influence, la différence est que les cybercriminels ne sintéressent pas dans linfection des utilisateurs Linux car il ny a rien à voler ici. Il ny a pas beaucoup de malware sur Mac tout simplement, car les utilisateurs résident surtout aux États Unis et en Europe de louest. Or, les créateurs de malware résident en Chine, Amérique latine et les pays pratiquant le russe (Russe, Ukraine). Sur lorigine géographique des malwares, justement, la Chine remporte la palme avec plus de la moitié des malwares [qui] viennent de là bas, avec une population dinternautes qui ne cesse de grimper, tout comme celle de cybercriminels. Aleks Gostev Des malwares de plus en plus astucieux Dans la continuité de cette rencontre, Aleks Gostev, directeur du groupe de recherche et 2/6

3 danalyse international de Kaspersky Lab nous décrit pour sa part quaujourdhui la plupart des malwares utilisent les mêmes techniques que leurs ancêtres pour se répandre, mais sont bien plus difficiles à détecter et supprimer, notamment du fait de lusage des rootkits. Les caractéristiques du marché actuel marquent une recrudescence de malwares dits sophistiqués, comme Sinowal, ou rootkit qui simplémente dans le secteur damorce du disque dur, TDSS, un autre rootkit ou Clampi, cheval de Troie dompté au chiffrement de donnée. Quant au libre, même certitude queugène Kaspersky : Les logiciels open source, OS ou applications, ne sont pas plus sécurisés, mais les vulnérabilités y sont patchées bien plus rapidement que sous Windows. Du côté des tendances, le marché actuel dessiné par Alexandre Gostev se traduit par une relative stabilité après une forte hausse dans la découverte de nouveaux malwares. De 1992 à 2007, 2 millions de malwares uniques ont été détectés, quand pour la seule année 2008 et 2009, ce chiffre a atteint chaque année les 15 millions. Cette stabilité actuelle est causée par un durcissement des législations, des structures de régulation plus fortes, mais aussi par des réponses antivirales plus présentes. La coopération autour des malwares Vis à vis des structures de régulation, léditeur nous évoque le fameux Conficker ou KIDO, ver particulièrement nerveux à donner pour la première fois loccasion dune large coopération internationale incluant les plus grands éditeurs (ESET, F SECURE, Kaspersky, McAfee, Symantec, Sophos, Trend Micro, Microsoft) mais aussi des grands acteurs en ligne comme AOL, 1and1, Facebook, Verisign, des FAI, des universités. Cette coopération peut réellement aider à lutter contre les malwares estime Alexandre Gostev qui prédit sa poursuite pour les mois à venir face aux nouvelles menaces informatiques. Dautres malwares ont marqué la période comme Gumblar, botnet attaquant les utilisateurs, en sappuyant sur une propagation infectieuse par vague. Évidemment, les considérations économiques ne sont pas loin lorsquon aborde le marché des faux antivirus, qui génère un revenu de 150 millions de dollars pour la seule année 2009, du moins selon linternet Crime Complain Center. Les autres plateformes Sur les autres plateformes que Windows, lactivité malware existe, mais nest pas aussi florissante, sans comparaison avec les logiciels de Redmond. Sur Mac OS X on doit souligner lexistence symbolique du premier trojan, OSX.RSPlug.A (de type DNSChanger) ou dimunizator, qui essaie de faire croire que votre mac est bourré de problèmes, pour tenter de vous vendre une solution de sécurité Sur iphone, lannée 2009 a été celle du premier malware qui sattaque cependant quaux versions débloquées. Dautres plateformes plus exotiques ont été prises pour cible comme Backdoor.Win32.Skimer qui ciblait certains distributeurs automatiques de billets présentant un trou de sécurité. Tendance pour lannée 2010? Alexandre Gostev nous prédit pour lannée à venir une démultiplication des attaques via les sites P2P Bittorrent et des malwares eux aussi de plus en plus sophistiqués, comme nous 3/6

4 lexposions ci dessus. Les services similaires à Google Wave devraient aussi être pris pour cible. Le cas de Wave a rapidement attiré lattention avec une faille XSS (très fréquente) trouvée peu après le lancement du service Tout comme Android qui devrait attiser son lot de malware puisque contrairement à Apple, il ny a pas de vérification destinée à sassurer que les applications logicielles tierces sont sécurisées. Stefan Tãnase Selon Stefan Tãnase, qui soccupe des recherches pour la région EMEA, il y aurait dès à présent 1 sites sur 150 infectés dans le monde, chiffre qui tirerait sa démesure de lexploitation de plusieurs portes comme des accès FTP compromis, des cas dinjection diframes ou de code javascript, des internautes fragilisés par lusage de navigateurs ou plug ins non mis à jour, et autre tendance : des malwares conçus pour cibler de nouvelles applications, une fois celles ci devenues populaires. Lexemple direct est celui de Koobface qui cibla Facebook mais également Twitter. Citons encore le "geotargeting" qui va adapter des messages parfois anxiogènes pour frapper géographiquement au plus près de linternaute ou dans sa langue, et susciter une meilleure réaction de sa part. Les réseaux sociaux, cibles dattaques malwares La typologie des tendances du supermarché des malwares met encore en avant une démultiplication des attaques sur les réseaux sociaux avec des données personnelles qui deviennent un bien déchange sur le marché noir de la cybercriminalité. Le prix des informations, par exemple une carte bancaire voit sa valeur senvoler selon les pays mais aussi le type de carte de crédit utilisée. De même pour les comptes sur Paypal, marque la plus victime de phishing selon le chercheur Dimitri Bestushev, où un compte vérifié et un compte non vérifié nont pas le même poids dans le porte monnaie. Car tout se monétise selon KAV : votre nombre de followers sur Twitter ou damis sur Facebook, un compte Skype ont tout autant une valeur financière et peuvent permettre à des escroqueries (réclamer un coup de pouce financier à un proche). Dautres valeurs montantes sont Skype ou le très attractif Rapidshare. Plateformes mobiles : quid de liphone? Pour les seules plateformes mobiles, nous avons pu nous entretenir avec Denis Maslennikov, dont la principale occupation chez KAV est justement détudier les malwares sur ces plateformes. Lévolution des malwares mobiles est très similaire à celle sur PC, avec au départ des POC, des malwares auto répliquant pour arriver à des systèmes destinés à engranger de largent. Le premier malware en ce secteur remonte à 2004, ce fut Cabir. Par la suite, jusquen 2007, le marché du malware sest orienté vers plusieurs voies (vers par MMS ou bluetooth, trojan, etc.). Dès 2008, nous sommes arrivés à une période orientée davantage vers les escroqueries monétaires (tentative de guider linternaute via des SMS surtaxés ou vers des sites de phishing comme ce fut le cas pour le deuxième vers sur iphone). Denis Maslennikov Sur les solutions les plus ciblées sur ce marché, Denis Maslennikov nous répond sans hésiter Symbian, Windows et Java qui est lui, supporté par plusieurs plateformes. Question : 4/6

5 quid de liphone? Faut il un antivirus pour le téléphone dapple? Sur un iphone non jailbraiké, officiel, où seules les applications dappstore sont acceptées, il y a moins de probabilité quun malware apparaisse, car il est très difficile dimplanter un malware sur les téléphones via Appstore mais cela peut senvisager par exemple via Safari. A la question avez vous tenté de concevoir un proof of concept pour éprouver cette plateforme, la réponse est directe : nous ne concevons dapplication malware daucune manière. Sur lorigine des malwares, la Russie est davantage spécialisée dans les SMS compte tenu des spécificités du réseau local qui permettent dimplémenter facilement ce type darnaques. Les pirates chinois sont eux plus orientés vers les vers sur de multiples plateformes. Visite du siège de Kaspesky à Moscou Notre visite à Moscou a également été marquée par la visite du siège de Kaspersky à quelques kilomètres de la Place Rouge. Le bâtiment nest évidemment quune brique de larchitecture de la société, épaulée par plusieurs autres centres de traitements répartis dans le monde personnes travaillent pour KAV, et plusieurs centaines sur Moscou, avec des permanences destinées à assurer un service 24h/24 et 7j/7. Sécurité oblige, la visite ne nous a pas plongés dans les limbes de léditeur. Nous avons cependant pu avoir un petit aperçu dune salle dotée de serveurs... et pu voir des chercheurs en sécurité en plein travail. Pour la petite histoire, on remarquera le tableau dressant la liste des statistiques dactivité avec le nombre de malware trouvé par chacune des personnes en poste à létage où nous nous trouvions. Aybo est un système automatisé qui a à son actif des dizaines de milliers de malwares découverts, bien plus que les chercheurs humains. Dans une autre salle, sont analysés les malwares sur réseau mobile, le tout dans une salle blindée kaspersky_virus_antivirus.htm 5/6

6 /6