Prévisions 2010 en matière de menaces

Transcription

1 Prévisions 2010 en matière de menaces McAfee Labs

2 McAfee Labs prévoit une augmentation des menaces liées aux sites de réseau social, à la sécurité bancaire et aux réseaux de robots (botnets) ainsi que des attaques visant les utilisateurs, les entreprises et les applications. Toutefois, l'année 2010 devrait voir une amélioration de l'efficacité des mesures adoptées par les forces de l'ordre dans la lutte contre la cybercriminalité. Les sites de réseau social tels que Facebook seront confrontés à des menaces plus sophistiquées en raison de l'augmentation du nombre d'inscrits. L'explosion des applications sur Facebook et d'autres services constituera un vecteur idéal pour les cybercriminels, qui exploitent le sentiment de confiance instinctif entre amis pour inciter les utilisateurs à cliquer sur des liens dont ils se méfieraient sans cela. L'arrivée de HTML 5 rendra plus floue la démarcation entre les applications bureautiques et les applications en ligne, ce qui, avec la distribution du système d'exploitation Google Chrome, offrira aux auteurs de logiciels malveillants une nouvelle possibilité d'abuser les utilisateurs. Les pièces jointes aux s permettent, depuis de nombreuses années, de distribuer des logiciels malveillants. Pourtant, le nombre croissant d'attaques dirigées contre les entreprises, les journalistes et les particuliers finissent par les duper et les inciter à télécharger des chevaux de Troie et autres logiciels malveillants. Les cybercriminels s'en prennent depuis toujours aux produits Microsoft en raison de leur popularité. Tout porte à croire qu'en 2010, les logiciels Adobe, et plus particulièrement Acrobat Reader et Flash, seront les principales cibles dans la ligne de mire des cybercriminels. Les chevaux de Troie bancaires gagneront en intelligence, entraînant parfois l'interruption d'une transaction légitime pour effectuer un retrait non autorisé. Les réseaux de robots constituent l'infrastructure de base des cybercriminels qui s'en servent pour lancer des campagnes de spam ou usurper des identités. Les succès récents en matière de démantèlement de réseaux de robots contraindront leurs contrôleurs à adopter d'autres méthodes, moins vulnérables, de commande, notamment les configurations peer-to-peer. En dépit de la portée mondiale des réseaux de robots, nous prévoyons un succès croissant dans la lutte contre toutes les formes de cyberdélits en

3 Sommaire L'évolution du Web à l'origine de l'escalade des attaques 4 Les attaques ciblées en pleine expansion 5 Les produits Adobe et Microsoft très prisés par les auteurs de logiciels malveillants 7 Des chevaux de Troie bancaires plus intelligents 7 Guerre de tranchées contre les réseaux de robots , l'année de tous les dangers pour les cybercriminels 9 Les auteurs 10 A propos de McAfee Labs 10 A propos de McAfee, Inc. 10

4 L'évolution du Web à l'origine de l'escalade des attaques L'année 2009 a été caractérisée par une augmentation des attaques contre les sites web, de dangereux cocktails d'exploits lancés contre des utilisateurs non avertis, des pannes d'infrastructure d'origine naturelle ou délictueuse et des attaques usurpant l'identité d'«amis» plus problématiques que jamais. Le nombre d'utilisateurs de Facebook ayant franchi la barre des 350 millions, tout laisse penser que ces tendances devraient s'accentuer en Les outils des criminels évoluent rapidement. Ils utilisent de nouvelles technologies capables de mettre en œuvre des attaques extrêmement perfectionnées, qui prennent par surprise un nombre encore plus grand d'internautes, inconscients des risques qu'elles comportent. Les auteurs de logiciels malveillants ne se sont pas privés d'exploiter la popularité de certains sites et réseaux sociaux et continueront sur leur lancée en La vulnérabilité de Google et d'autres fournisseurs face à la technique de falsification des résultats de recherche donne à penser que Twitter et des services similaires seront à leur tour victimes de manœuvres de ce genre. La popularité de Twitter a favorisé l'adoption croissante de services d'url abrégées, comme bit.ly et tinyurl.com. Ces services sont désormais présents dans de nombreux types de communications, ce qui facilite d'autant le masquage des URL sur lesquelles les utilisateurs sont invités à cliquer. Ce stratagème prendra de l'ampleur en 2010 dans la mesure où il représente le vecteur idéal pour diriger les utilisateurs vers des sites web auxquels ils hésiteraient normalement à accéder. Dans la mesure où les internautes attendent toujours plus des services web 2.0, nous assisterons vraisemblablement à la multiplication de services falsifiés destinés à capturer des informations d'identification et autres données. Les utilisateurs ne font pas toujours preuve de discernement lorsqu'ils distribuent des applications. Compte tenu de la présence généralisée d'informations d'identification volées, il pourrait être très facile de lancer et de partager ces applications malveillantes au sein d'une large population. Le public visé existe bel et bien : Facebook compte plus de applications actives 1 et le site App Store d'apple a récemment franchi la barre des ventes 2. Et c'est sans compter les applications des autres marchés. Chaque fois qu'un site populaire jugé fiable distribue ou fait la publicité d'un contenu tiers, les auteurs d'attaques cherchent à exploiter la relation de confiance établie entre le site et ses utilisateurs. En effet, puisque cela fonctionne. Bon nombre d'utilisateurs baissent en effet leur garde lorsqu'ils cliquent sur des liens hypertexte envoyés par leurs amis ou qu'ils installent des applications proposées par des sites connus. Nous avons jusqu'ici abordé les attaques et les tendances auxquelles les internautes devraient s'attendre en 2010 et dont ils devraient se méfier. Toutefois, les technologies émergentes et les nouveaux risques qu'elles présentent méritent aussi notre attention. S'il semble peu probable que ces technologies soient utilisées dans des attaques de grande envergure, on peut s'attendre à une certaine activité et quelques tentatives d'exploitation de ces technologies afin de démontrer leur faisabilité. Ainsi, lorsque le grand public adoptera ces nouvelles technologies, les cybercriminels seront prêts. Les avancées technologiques réalisées grâce au HTML 5 vont révolutionner la façon dont les développeurs d'applications web et les pirates informatiques pourront interagir avec leur «marché cible». HTML 5 ouvre la porte à de nouvelles possibilités très attendues par la communauté web actuelle, notamment en permettant d'effacer les frontières entre une application web et une application bureautique. Les attaques fondées sur HTML 5 seront encore plus attrayantes après la mise sur le marché du système d'exploitation Google Chrome (prévue au cours du second semestre 2010). Le système d'exploitation Google Chrome a été conçu pour être utilisé avec les miniportables et HTML 5 offre non seulement de vastes possibilités d'interaction en ligne, mais aussi des applications hors ligne. La compatibilité interplate-forme constitue un autre attrait de HTML 5 pour les auteurs d'attaques puisqu'elle leur permettra d'atteindre les utilisateurs de nombreux navigateurs populaires. Avant la commercialisation définitive de Google Chrome, la société prévoit de distribuer le navigateur Google Wave, qui constitue un autre vecteur d'attaque possible. Google Wave est conçu pour allier les fonctions d'outils collaboratifs et de connexion aux réseaux sociaux en ligne en un seul service web complet, ce qui aura pour conséquence de combiner tous les risques de sécurité associés à ces vecteurs de communication en un seul service. Google Wave repose essentiellement sur le protocole XMPP (extensible Messaging and Presence Protocol), qui offre aux applications Wave un modèle de contrôle décentralisé d'application à application. Cela offre aux cybercriminels un nouveau moyen de créer une redondance au sein de leurs réseaux illicites, compliquant ainsi leur détection et leur neutralisation. Avec cet autre moyen de contrôle qu'est Twitter, les réseaux de robots continueront en toute vraisemblance à exploiter les applications et protocoles les plus courants et resteront toujours aussi difficiles à détecter et à bloquer. 1. Press Room: Statistics, Facebook «Apple Announces Over 100,000 Apps Now Available on the App Store» (Apple annonce la disponibilité de plus de applications sur le site App Store), Apple. 4

5 Les attaques ciblées en pleine expansion La messagerie électronique s'impose comme la méthode de prédilection des cybercriminels pour lancer des attaques ciblées contre les utilisateurs, les entreprises et les organismes publics. Alors que les attaques de ce type étaient peu fréquentes il y a quelques années, de nombreux rapports confirment le succès croissant de telles attaques, menées à des fins criminelles ou d'espionnage et dont les vecteurs sont des pièces jointes ou les liens contenus dans des s. Ces messages sont spécialement conçus pour attirer l'attention d'un individu précis. Leur succès est sans doute favorisé par les vulnérabilités présentes dans de nombreuses applications populaires qui traitent et affichent les documents ou médias joints aux s. Ces failles de sécurité permettent au logiciel malveillant d'installer des chevaux de Troie lorsque les utilisateurs ouvrent des fichiers qu'ils croient inoffensifs. Nous prévoyons une augmentation de ces attaques en En 2009, quelques incidents majeurs ont fait la une de l'actualité, mais ce ne sont que le sommet de l'iceberg dans la mesure où de tels épisodes sont rarement rendus publics. En mars, après une enquête longue de dix mois, les autorités ont mis au jour «GhostNet», un réseau comptant au moins ordinateurs compromis dans 103 pays. Ces derniers appartenaient principalement à des organismes publics, des associations caritatives et des activistes. L'attaque avait été menée au moyen d' s comportant des lignes d'objet en rapport avec le Tibet et le Dalai Lama. Ils contenaient des pièces jointes malveillantes qui permettaient de connecter les ordinateurs infectés à des systèmes basés en Chine. (Il n'existe toutefois aucune preuve de l'implication du gouvernement chinois dans cette affaire.) Figure 1 : Gh0st RAT, un kit d'outils de développement de chevaux de Troie a été principalement distribué par des membres du CRST (C. Rufus Security Team), via leur site web wolfexp. L'organisation suisse MELANI (Centrale d'enregistrement et d'analyse pour la sûreté de l'information) a fait état d'une vague d'attaques très ciblées contre les équipes de direction de grandes sociétés. Un accompagné d'une pièce jointe faisant référence à un virement bancaire a été utilisé pour cette attaque. Lorsque la victime ouvre la pièce jointe, en l'occurrence un fichier portant l'extension.rtf, un logiciel malveillant est installé et enregistre tous les répertoires accédés via l'explorateur Windows, tous les sites web visités et toutes les données entrées dans des formulaires. Le logiciel envoie ensuite ces informations à divers serveurs. Figure 2 : faisant référence à un virement bancaire, accompagné d'une pièce jointe malveillante (Source : MELANI) 5

6 Les direction des entreprises ou des organismes publics ne sont pas les seules victimes, comme l'illustre l'exemple suivant. Les journalistes ont également été pris pour cibles. En septembre, une attaque a été lancée contre des journalistes de divers médias, dont les agences France Presse, Dow Jones et Reuters basées en Chine. Les s de l'attaque semblaient émaner d'un rédacteur du Straits Times, un journal de Singapour publié en anglais, et comportaient une pièce jointe au format PDF. L'ouverture de la pièce jointe exploitait une vulnérabilité d'adobe Acrobat et entraînait l'installation d'un logiciel malveillant qui connectait les systèmes à des ordinateurs compromis à Taïwan. La période de l'attaque correspondait au 60 e anniversaire de la fondation de la République populaire de Chine mais, une fois encore, il n'existe aucune preuve d'une implication du gouvernement chinois. La pièce jointe était rarement détectée par les antivirus, ce qui caractérise généralement ces attaques ciblées. Avant de lancer une attaque, les auteurs vérifient que leurs chevaux de Troie ne seront pas détectés par la plupart des produits antivirus, une tâche encore simplifiée par le fait que les sites web ne transfèrent pas toujours les échantillons de logiciels malveillants aux éditeurs de produits de sécurité. Figure 3 : émanant en apparence du journal The Straits Times et incluant un fichier PDF malveillant ciblant les journalistes (Source : Nous n'avons cité que quelques exemples des attaques ciblées intervenues en Bien que les chiffres exacts restent souvent secrets, plusieurs agences signalent une augmentation sensible de ce type d'attaques contre les gouvernements de divers pays par rapport à Selon nous, cette tendance devrait se poursuivre en Les particuliers et le personnel informatique devraient veiller à renforcer la protection des ordinateurs de toute personne ou organisation susceptible d'être victime d'une attaque. 6

7 Les produits Adobe et Microsoft très prisés par les auteurs de logiciels malveillants En 2009, McAfee Labs a constaté une augmentation des attaques visant les logiciels clients 3. Parmi les vecteurs de prédilection des pirates, les produits de l'éditeur Adobe, plus particulièrement Flash et Acrobat Reader. Grâce au «heap-spraying» (contournement de certaines protections liées au tas dans les navigateurs) et d'autres techniques d'exploitation, les auteurs de logiciels malveillants ont fait des applications Adobe une cible de choix. En outre, Flash et Reader figurent parmi les applications les plus déployées au monde 4, ce qui accroit d'autant leur rentabilité pour les cybercriminels. Selon les tendances actuelles, tout porte à croire qu'en 2010, l'exploitation des produits Adobe surpassera celle des applications Microsoft Office en termes d'ordinateurs de bureau ciblés. Les sondes de McAfee Labs ont également enregistré de nombreuses attaques par injection de code SQL perpétrées contre des serveurs web. Parmi ces attaques figurent quelques tentatives du robot Danmec. Selon nos prévisions, les attaques automatisées par injection de code SQL devraient se poursuivre grâce à l'exploitation de serveurs web mal configurés. Ces attaques sont en hausse dans la mesure où les vulnérabilités «classiques» des serveurs autorisant la propagation en masse continuent de décroître 3. Les fêtes de fin d'année restent une période fort prisée par les pirates pour lancer leurs attaques. Au cours des cinq dernières années, des exploits de type «jour zéro» visant Microsoft Internet Explorer ont été régulièrement signalés en novembre et en décembre. Le nombre d'internautes en quête de cadeaux et de bonnes affaires n'est certes pas étranger au phénomène. Vulnérabilité «jour zéro» Admission de l'exploitation par Microsoft Date de distribution du patch Mismatched Document Object Model Objects Memory Corruption Vulnerability (Vulnérabilité de corruption de mémoire des objets DOM) CAN : KB Microsoft XML Core Services Vulnerability (Vulnérabilité dans Microsoft XML Core Services) CVE : KB Windows URI Handling Vulnerability (Vulnérabilité de gestion des URI Windows) CVE : KB Pointer Reference Memory Corruption Vulnerability (Vulnérabilité de corruption de mémoire liée à une référence de pointeur) CVE : KB Vulnerability in Internet Explorer Could Allow Remote Code Execution (Une vulnérabilité au niveau d'internet Explorer permet potentiellement l'exécution de code à distance) CVE : KB novembre décembre novembre novembre octobre novembre décembre décembre novembre décembre 2009 Des chevaux de Troie bancaires plus intelligents En 2009, les criminels ont adapté leurs méthodes afin d'améliorer l'efficacité des attaques de systèmes bancaires en ligne et de contourner les protections mises en place par les banques. Les chevaux de Troie mettent en œuvre de nouvelles tactiques bien supérieures à celle du simple enregistrement de frappes à l'aide de captures d'écran observé ces dernières années. La plupart des chevaux de Troie utilisent désormais les techniques des rootkits pour se dissimuler au sein du système cible et désactiver le logiciel antivirus ou bloquer les mises à jour des signatures. Il arrive souvent que l'ordinateur de la victime soit intégré à un réseau de robots et reçoive des mises à jour de configuration du logiciel malveillant. De simples chevaux de Troie, à l'instar de ceux généralement observés dans les pays d'amérique du Sud, restent inactifs jusqu'à ce que la victime accède au site web d'une banque. Ils ajoutent ensuite des champs à compléter par l'utilisateur, demandant, par exemple, un numéro de carte de crédit et le code secret d'une carte bancaire ou des numéros de transaction indexés (itan, indexed Transaction Authorization Number). Le cheval de Troie est 3. «Le nouveau souffle des vulnérabilités», McAfee Security Journal, automne «Flash Player Penetration» (Taux de pénétration de Flash Player), Adobe. «Adobe Flash Player PC Penetration» (Taux de pénétration de Adobe Flash Player sur les PC), Adobe. 7

8 généralement accompagné d'un fichier de configuration qui contient des informations relatives à des centaines de banques, spécifiant les champs supplémentaires en respectant la structure et l'aspect du site bancaire légitime. Bien que ces chevaux de Troie, tel Torpig, restent populaires, ils sont loin d'être à la pointe du progrès. La famille Silentbanker est bien plus dangereuse. Ces chevaux de Troie peuvent silencieusement modifier les données entrées par l'utilisateur pour transférer l'argent au pirate au cours d'une transaction. L'utilisateur ne se rend compte de rien jusqu'à l'arrivée du prochain relevé bancaire. Bebloh, également appelé URLZone, opère de façon encore plus insidieuse. Il ne se contente pas seulement de modifier les détails de la transaction mais il vérifie également le compte et la limite de transactions pour ne pas la dépasser et alerter la banque. Bebloh effectue également un suivi des transactions initialement réalisées par l'utilisateur et modifie le relevé bancaire pour afficher celles-ci et non celles qu'il a effectuées. Le solde du compte est évidemment modifié en conséquence. Le développement le plus récent, et sans doute le plus inquiétant, concerne la famille Zeus. Ces chevaux de Troie sont régulièrement mis à jour avec de nouvelles versions et vendus dans des forums clandestins à tous les amateurs désireux de se lancer dans ce type d'activités délictueuses. Associé à un serveur de contrôle et de commande, Zeus bénéficie d'une configuration très flexible qui permet de le modifier facilement en fonction des besoins spécifiques du cybercriminel. Il existe désormais une console d'interception qui permet à un pirate d'opérer en temps réel. Ce type d'attaque se déroule d'une façon précise. Lorsque la victime se connecte à son compte bancaire en ligne, elle voit une barre de maintenance qui progresse lentement jusqu'à ce qu'elle soit remplie. Ensuite, l'utilisateur doit répondre à des questions de sécurité supplémentaire, dans des pages reproduisant fidèlement le site web de la banque. Ces étapes permettent au pirate de gagner du temps. Dès le moment où l'utilisateur se connecte, l'auteur de l'attaque est averti et initie une transaction pendant que la victime attend. Au cours de l'étape suivante, la victime est invitée à enregistrer son numéro de téléphone portable et à le confirmer à l'aide d'un numéro itan spécifique. Le pirate utilise ce numéro itan, exigé par la banque, pour réaliser la transaction illicite. Dès que la victime a entré le numéro itan, le pirate exécute la transaction et l'utilisateur voit s'afficher un message indiquant que l'enregistrement du téléphone a réussi mais que le système bancaire en ligne est fermé pour maintenance. JabberZeus, une variante de Zeus, possède une structure complexe permettant de fournir des informations en temps quasi réel à un pirate informatique. Cette version est principalement utilisée pour dérober les mots de passe à usage unique exigés par certaines banques pour ajouter un niveau supplémentaire de protection à des transactions d'un montant important. Avec cette variante, l'auteur de l'attaque utilise le protocole Jabber comme système de messagerie instantanée pour collecter les données volées. Il sélectionne ensuite les informations les plus importantes (d'un point de vue financier). Compte tenu de l'utilisation généralisée du kit Zeus, nous anticipons de nombreuses attaques similaires en 2010, et pas uniquement dirigées contre les sites bancaires. Cette variante permet aux pirates de contourner tous les types d'authentification à deux niveaux utilisés sur des sites web. Guerre de tranchées contre les réseaux de robots Au cours des six dernières années, les réseaux de robots sont devenus la bête noire des professionnels de la cybersécurité. Ces réseaux sont désormais la principale infrastructure utilisée par les cybercriminels et certains Etats pour lancer pratiquement tous les types d'attaques informatiques : exfiltration de données, espionnage, spam et autres dénis de service. Grâce à une source extrêmement bon marché et apparemment illimitée de puissance informatique et de bande passante volées partout dans le monde, les pirates peuvent non seulement amplifier l'impact de leurs attaques, mais également dissimuler leurs véritables identité et emplacement derrière les innombrables ordinateurs compromis sous leur contrôle. Pour combattre cette menace grandissante, les chercheurs en sécurité et les gestionnaires d'infrastructures stratégiques en matière de télécommunications ou d'enregistrement de domaines ont décidé de mener des opérations ciblées pour mettre hors service l'infrastructure de contrôle des réseaux de robots les plus menaçants. L'objectif consiste à priver les criminels de cette capacité essentielle et de réduire le trafic de menaces en circulation sur Internet. Dans de nombreux cas, la communauté de la sécurité s'intéresse tout particulièrement aux fournisseurs d'accès Internet illicites qui ont fourni et continuent de fournir, malgré les pressions, un hébergement à de nombreuses activités criminelles. En effet, en dépit des plaintes déposées concernant les comportements criminels qui émanent de ces espaces d'hébergement, leur mise hors service a pris du temps. Les fournisseurs d'accès Internet et services d'enregistrement de domaines tels que Russian Business Network, McColo, Atrivo, 3FN, UkrTelegroup et EstDomains hébergent depuis longtemps les serveurs de contrôle via lesquels les propriétaires de réseaux de robots émettent des commandes et des mises à jour destinées à leurs réseaux mondiaux de zombies. 8

9 A la suite d'opérations coup de poing menées pour mettre un terme aux activités des chaînes de commande de réseaux de robots précis et des fournisseurs d'accès servant principalement les intérêts des cybercriminels, le fonctionnement de nombreux réseaux a été fortement désorganisé ces dernières années. A titre d'exemple, citons la mise hors service temporaire en 2008 des réseaux de robots de spam Rustock, Srizbi et Mega-D, dont les serveurs de contrôle étaient hébergés chez le fournisseur d'accès Internet McColo. Pendant quelques mois, cette mise hors service a contribué à une diminution de 60 à 70 % du volume de spam mondial, le temps que les criminels se réorganisent et installent leurs serveurs ailleurs. Au début de l'année 2009, un consortium de sociétés actives dans les domaines de la sécurité informatique et l'enregistrement de domaines est parvenu, en collaboration avec ICANN, à pirater la méthode de contrôle par domaines utilisée par le réseau de robots Conficker et à empêcher ces malfaiteurs d'utiliser près de sept millions d'ordinateurs compromis. Ces dernières semaines, grâce à la ténacité de chercheurs en sécurité, nous avons assisté une fois encore à la mise hors service temporaire du réseau de robots de spam Mega-D. Certes, dans pratiquement tous les cas, le succès est de courte durée puisque les criminels parviennent à reprendre le contrôle ou à recréer leurs réseaux de robots en quelques mois, voire quelques semaines. Il est néanmoins indéniable que ce type de réponse tactique aux menaces a fortement irrité les cybercriminels et affecté leurs revenus. Selon nos prévisions, 2010 devrait confirmer une évolution dans le sens d'infrastructures de réseaux de robots plus distribuées et efficaces, qui se baseront davantage sur les technologies peer-to-peer que sur le modèle d'hébergement centralisé qui prévaut actuellement. Bien que les premières tentatives d'adoption d'une telle approche remontent à 2006 (avec les réseaux de robots Storm et Nugache), le contrôle peer-to-peer n'était pas jusqu'ici le mode opératoire de prédilection de ces réseaux. En effet, il n'existait jusqu'ici aucune raison suffisante pour inciter les cybercriminels à mettre en œuvre cette technologie plus coûteuse et plus sophistiquée. Nous pensons que 2010 marquera un renversement de tendance puisque les avantages procurés par le contrôle peer-to-peer seront finalement supérieurs à son coût, en raison des efforts déployés par la communauté de la sécurité pour arrêter et bloquer l'accès à ces réseaux de robots. 2010, l'année de tous les dangers pour les cybercriminels Les autorités internationales ont commencé à réaliser l'ampleur et la menace posée par le cybercrime voici dix ans, lors des attaques MafiaBoy qui ont paralysé Yahoo, Amazon, ebay et d'autres sites de commerce électronique populaires en février 2000, mettant en lumière leur impact potentiel majeur sur l'économie et la continuité des activités. Dès l'automne 2002, le FBI a mis en place une «cyberdivision» et déployé, peu de temps après, des brigades de lutte contre le cybercrime dans ses 56 bureaux régionaux aux Etats-Unis pour contrer cette menace émergente. En même temps, le Secret Service américain, la police fédérale australienne, la Gendarmerie royale du Canada et le National Crime Squad britannique ainsi que les services de police d'autres pays ont créé des centres de lutte contre la cybercriminalité, consacrés aux enquêtes relatives aux délits informatiques. Quelques années plus tard, le travail de ces nouvelles cellules a commencé à porter ses fruits, avec notamment le succès, en octobre 2004, de l'opération Firewall, la première grande enquête internationale sur le cybercrime. Cette opération a donné lieu à quelque trente arrestations dans sept pays et à la mise hors service des forums Shadowserver et Carderplanet qui fournissaient l'infrastructure, la formation et le recrutement nécessaires à la réalisation d'opérations cybercriminelles de phishing, de spam, de distribution de logiciels malveillants et d'usurpation d'identité. Forts d'une expérience de près de dix ans, les services de police et le pouvoir judiciaire ont appris à lutter contre les réseaux du cybercrime organisé. Aujourd'hui, la plupart des gouvernements de la planète ont enfin pris conscience de la gravité du problème et de grands progrès ont été accomplis en termes de coopération, d'information et de formation entre ces autorités et services de police internationaux. Même si ces progrès ont été lents à venir, les criminels impliqués dans des délits informatiques savent désormais que leurs activités risquent de leur valoir de plus en plus souvent des condamnations et des peines d'emprisonnement, quel que soit leur pays de résidence. Quelques affaires récentes montrent que le vent tourne enfin. En novembre 2009, le ministère américain de la Justice a condamné neuf ressortissants russes, moldaves et estoniens présumés responsables d'une compromission des données de services de paiement clients de la société RBS WorldPay, pour un montant de neuf millions de dollars. Cette action démontre le niveau accru de coopération et de coordination entre les autorités des pays occidentaux et les autorités des pays de l'ancienne Union soviétique, qui a vu naître le cybercrime aux motivations financières et dont émanent encore la plupart des cybercriminels. Au cours du même mois, le tristement célèbre «parrain du spam», Alan Ralsky (Michigan) et son syndicat du crime, responsables d'un grande partie du courrier indésirable dans le monde et de pratiquement tout le spam lié aux 9

10 manipulations boursières (opérations de spéculation «pump-and-dump») ont été également condamnés. Ce type de spam est passé de près de 20 % de la part de marché de l'ensemble du spam en 2007 à pratiquement 0 % après les arrestations en janvier 2008 du réseau criminel de Ralsky. Ces récentes affaires ne sont que quelques exemples des succès enregistrés par les autorités dans la poursuite, l'identification et, enfin, l'arrestation des personnes engagées dans des activités informatiques illicites à l'échelle internationale. La plupart des arrestations ont pu aboutir grâce aux années d'efforts passées à la mise en place de relations de coopération et d'institutions et à la formation d'un personnel capable de gérer ce type de menaces sophistiquées et transnationales. McAfee est convaincu que l'année 2010 se soldera par de nombreux autres succès dans la lutte contre le cybercrime organisé. La coopération entre les agences internationales de lutte contre le cybercrime est plus étroite que jamais et les nouveaux «Incorruptibles» du cybercrime ont aujourd'hui à leur disposition des outils informatiques et des réseaux à la pointe du progrès que leurs prédécesseurs n'auraient jamais imaginer il y a seulement dix ans. McAfee a l'espoir de voir de nombreux autres cybercriminels arrêtés et mis sous les verrous dans les mois à venir... Les auteurs Ce rapport a été rédigé par Dmitri Alperovitch, Pedro Bueno, Toralv Dirro, Paula Greve, Rahul Kashyap, David Marcus, Sam Masiello, François Paget et Craig Schmugar de McAfee Labs. A propos de McAfee Labs McAfee Labs est l'équipe de recherche mondiale de McAfee, Inc. Seul organisme de recherche spécialisé dans tous les vecteurs de menace (logiciels malveillants, vulnérabilités, menaces visant les environnements web, la messagerie électronique et les réseaux), McAfee Labs collecte des renseignements provenant de ses millions de capteurs et de ses technologies de réputation dématérialisées telles qu'artemis et TrustedSource. L'équipe de 350 chercheurs pluridisciplinaires de McAfee Labs, présente dans 30 pays, suit l'éventail complet des menaces en temps réel, identifiant les vulnérabilités des applications, analysant et mettant en corrélation les risques et permettant des corrections instantanées pour protéger les entreprises et les particuliers. A propos de McAfee, Inc. Société basée à Santa Clara en Californie, McAfee, Inc. est la plus grande entreprise au monde entièrement vouée à la sécurité informatique. McAfee consacre tous ses efforts à trouver des réponses aux plus grands défis de sécurité de notre époque. A cette fin, notre société fournit des solutions et des services proactifs réputés assurant la sécurisation des systèmes et des réseaux dans le monde entier. Les utilisateurs peuvent ainsi se connecter à Internet, surfer et faire des achats en ligne en toute sécurité. Avec le soutien d'une équipe de recherche saluée par de nombreux prix, McAfee crée des produits innovants à l'intention des particuliers, des entreprises, du secteur public et des fournisseurs de services, pour les aider à se conformer aux réglementations, à protéger leurs données, à prévenir les perturbations dans le flux des activités, à identifier les vulnérabilités ainsi qu'à surveiller et à améliorer en continu leurs défenses. McAfee, S.A.S. Tour Franklin, La Défense Paris La Défense Cedex France (standard) McAfee et/ou les autres produits McAfee associés cités dans ce document sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la marque McAfee. Tous les produits d'autres sociétés et autres marques commerciales déposées ou non déposées ne sont cités dans ce document qu'à des fins de référence et sont la propriété exclusive de leurs détenteurs respectifs McAfee, Inc. Tous droits réservés. 7985rpt_labs_threat-predict_0110_ETMG