G Data MalwareReport. Rapport semestriel Janvier - juin Go safe. Go safer. G Data. Ralf Benzmüller & Sabrina Berkenkopf G Data SecurityLabs

Transcription

1 G Data MalwareReport Rapport semestriel Janvier - juin 2011 Ralf Benzmüller & Sabrina Berkenkopf G Data SecurityLabs MalwareReport_ Go safe. Go safer. G Data.

2 Table des matières Vue d ensemble... 2 Logiciels malveillants : chiffres et données... 3 La croissance continue... 3 Catégories de logiciels malveillants... 3 Familles de logiciels malveillants... 4 Plates-formes... 7 Tendances Logiciels malveillants sur mobiles... 9 Événements du premier semestre Janvier Février Mars Avril Mai Juin Copyright 2011 G Data Software AG 1

3 Vue d ensemble Au cours du premier semestre 2011, nouveaux types de logiciels malveillants ont été identifiés, ce qui représente une augmentation de 15,7 % comparée au semestre précédent. Le nombre moyen de nouveaux programmes malveillants par jour est passé à Parmi les catégories de ces logiciels malveillants, on note une progression très élevée des chevaux de Troie et des logiciels publicitaires. Le nombre de téléchargeurs et de portes dérobées est par contre légèrement en régression. Visiblement, l'utilisation d'ordinateurs contaminés est plus importante que le développement de nouveaux bots. Au cours du premier semestre 2011, on comptait au total familles de logiciels malveillants en activité. La part des logiciels malveillants Windows est passée à 99,6 %. Les fichiers programmes Windows classiques perdent une part de 0,3 %. La perte est toutefois compensée par la croissance des programmes.net. Les programmes malveillants, actifs sur les sites Web et ceux destinés aux appareils mobiles indiquent une tendance à la hausse. Tendances L'hacktivisme comme expression d'une opinion politique a de plus en plus de sympathisants. Les programmes malveillants destinés aux appareils mobiles sont à la mode. Le nombre des nouveaux programmes malveillants augmente rapidement. Événements Cette année, le réseau pirate Rustock a pu être paralysé grâce à une étroite coopération entre la Digital Crimes Unit de Microsoft et les autorités de police internationales. Le réseau d'ordinateurs a pu être désactivé en mars : il était responsable de l'envoi de milliards de pourriels par jour. Depuis avril, une série de cyberattaques ciblant certains médias vise le groupe japonais Sony, surtout la console Sony Playstation Network et ses joueurs. Le groupe de hackers présumés responsables, Anonymous, s'est manifesté plus souvent pendant les semaines suivantes. Les hackers du groupe LulzSec ont été également plus actifs. Perspective pour le second semestre 2011 Le nombre de programmes malveillants devrait augmenter au cours du second semestre et plus de 2,5 millions de programmes malveillants devraient être identifiés au cours de l année 2011cette année. Au second semestre, les cybercriminels recourront aussi davantage aux plates-formes mobiles, Android en particulier, pour orchestrer leurs attaques. Copyright 2011 G Data Software AG 2

4 Logiciels malveillants : chiffres et données Une croissance continue Au cours des six premiers mois de l'année, la progression des programmes malveillants n a pas été endiguée. Au premier semestre 2011, le nombre 1 des nouveaux programmes malveillants a augmenté de 15,7 % pour atteindre , ce qui correspond en moyenne à nouveaux programmes malveillants par jour. Nous nous attendons à ce que la barre des 2,5 millions de nouveaux échantillons soit franchie d'ici la fin de l'année. Si la croissance s accélèrait, le nombre des nouveaux programmes malveillants répertoriés en 2011 pourrait dépasser le nombre total des années 2006 à 2009 réunies. Graphique 1 : nombre de nouveaux programmes malveillants par an depuis 2006 Catégories de logiciels malveillants Les logiciels malveillants sont classés en différentes catégories en fonction de leurs activités malveillantes principales. Le graphique 2 indique le nombre des différentes catégories pour les derniers semestres. Le groupe des chevaux de Troie présente la plus forte croissance lors du premier semestre Il comprend les programmes malveillants caractérisés par des fonctions nuisibles spécifiques. Ce sont principalement des programmes qui sont chargés sur des ordinateurs contaminés via des portes dérobées afin d'effectuer des actes répréhensibles. L'envoi de spam, les attaques par déni de service, les services proxy et les offres similaires provenant du marché parallèle cybercriminel font partie de ce groupe. Les nombreuses variantes des chevaux de Troie Zeus et SpyEye en matière de services de banque en ligne sont également reprises dans ce groupe. La croissance confirme que l'économie clandestine fonctionne parfaitement. 1 Les chiffres du présent compte rendu sont basés sur la détection des logiciels malveillants par les signatures antivirus. Ils reposent sur les similitudes au niveau du code des fichiers nuisibles. De nombreux codes nuisibles se ressemblent, ils sont donc regroupés par familles qui connaissent de petites variations. Les fichiers fondamentalement différents sont à la base de familles propres. Les chiffres sont basés sur les nouvelles variantes de signatures créées au cours du premier semestre Copyright 2011 G Data Software AG 3

5 La forte croissance des logiciels publicitaires qui avait marqué le second semestre 2010 a un peu ralenti. La hausse de 14,6 % démontre toutefois que les logiciels publicitaires continuent de représenter des affaires lucratives et constitue une activité pour les malfaiteurs. Le nombre de téléchargeurs/injecteurs est légèrement en recul ; ces derniers sont responsables de la contamination des ordinateurs. Le nombre des portes dérobées baisse aussi légèrement. Ces programmes malveillants rendent les ordinateurs administrables à distance et les intègrent dans les réseaux de bots (botnets). Visiblement, développer de tels nouveaux réseaux ou mettre à jour ceux existants ne fait plus partie des priorités. Le nombre des Exploits progresse pour la première fois après une longue période de baisse. Graphique 2 : nombre de nouveaux programmes malveillants par catégorie au cours des trois derniers semestres Familles de logiciels malveillants Les programmes malveillants sont classés en différentes familles selon leurs caractéristiques et leurs activités. Certaines familles sont très productives et de nouvelles variantes font sans cesse leur apparition. Le graphique 3 présente les familles les plus productives des derniers semestres. Le nombre total des familles de programmes malveillants a légèrement augmenté au cours du premier semestre 2011 (2,4 %) et s'élève maintenant à Genome, un cheval de Troie aux nombreuses fonctions nuisibles, reste le chef de file. FakeAV occupe la deuxième place. Il appartient à la catégorie des faux programmes de protection antivirus ou de faux outils système, très populaires auprès des cybercriminels. VBKrypt, un nouveau programme camouflé avec des fichiers nuisibles, fait partie du groupe de tête. La quatrième version encore plus puissante des Rootkits (outils de dissimulation d'activité) de la famille TDSS - appelés aussi TDL- Rootkit - affirme leur suprématie sur le marché de l'économie cybercriminelle. La forte augmentation des vers de la famille Palevo est responsable de la nette progression de ces programmes. Un petit nouveau est à l'avant-dernière place. Menti est un cheval de Troie, comme Genome. Les chevaux de Troie restent ainsi les programmes malveillants les plus appréciés des malfaiteurs. Copyright 2011 G Data Software AG 4

6 Graphique 3a-c : top 10 des familles de programmes nuisibles les plus actives. Part des nouvelles variantes 2010 et 2011 Copyright 2011 G Data Software AG 5

7 Genome Les chevaux de Troie de la famille Genome allient des fonctionnalités telles que le téléchargement, l enregistrement de frappe ou le chiffrement des fichiers. FakeAV Ce cheval de Troie prétend être un logiciel antivirus ou un autre programme de sécurité. Il simule l'identification de plusieurs risques de sécurité ou contaminations nuisibles sur le système de l'utilisateur. L'utilisateur est alors dupé et achète un programme afin de supprimer les fausses alarmes. VBKrypt VBKrypt est un outil permettant de camoufler les fichiers nuisibles. Les scripts de camouflage sont écrits en Visual Basic. L'éventail des fichiers camouflés est vaste, il comprend les téléchargeurs, les logiciels espions, les vers ainsi que les portes dérobées. TDSS Le Rootkit TDSS et ses fonctions variées, caractérisées par une technique très aboutie, servent à camoufler les fichiers nuisibles. C'est devenu une norme dans le monde des programmes malveillants. Il est utilisé pour masquer les fichiers et les entrées de registre des portes dérobées, des logiciels espions et publicitaires. Palevo Le ver Palevo se propage par le biais des supports de données amovibles (autorun.inf) et via des copies aux noms alléchants sur les sites de téléchargement de poste à poste, tels que Bearshare, Kazaa, Shareaza, etc. Il propose également des liens vers des sites Web nuisibles via les messageries instantanées (MSN essentiellement). Il injecte en outre des fonctions de porte dérobée dans l Explorateur et recherche des serveurs définis, sur commande. Buzus Les chevaux de Troie de la famille Buzus recherchent des données personnelles (cartes de crédit, opérations bancaires en ligne, accès aux messageries électroniques et aux serveurs FTP) au niveau du système contaminé de leur victime ; les données sont ensuite transmises à l auteur de l attaque. Ils tentent également d'affaiblir les paramètres de sécurité de l ordinateur et de rendre le système de la victime vulnérable. OnLineGames Les composants de la famille OnlineGames volent essentiellement les données d accès à des jeux en ligne. Pour ce faire, ils recherchent certains fichiers et certaines entrées du registre et/ou installent un enregistreur de frappe. Dans le dernier cas, le vol ne porte pas uniquement sur les données des jeux. La plupart des attaques ciblent des jeux populaires en Asie. FraudLoad La famille Fraudload comprend les très nombreuses variantes des Scareware qui se présentent à l'utilisateur comme des programmes de sécurité ou des outils système. Une analyse du système est simulée sur le système de la victime afin de déceler d'éventuelles contaminations. Afin de les supprimer, la victime est invitée à acquérir la "version complète" et à fournir ses informations de cartes de crédit sur un site Web donné. La contamination se produit généralement via des failles de Copyright 2011 G Data Software AG 6

8 sécurité non résolues du système d'exploitation ou via une application vulnérable de la victime. Il existe toutefois aussi des méthodes d'attaques qui attirent l'utilisateur sur des sites sous prétexte de visionner des vidéos prétendument érotiques ou des événements de l'actualité. Afin de consulter ces soi-disant vidéos, la victime doit installer un codec vidéo spécial qui renferme le programme malveillant. Menti Le cheval de Troie Menti s'infiltre dans le système concerné et se connecte régulièrement à un serveur. L'ordinateur est alors intégré dans un botnet. Refroso Ce cheval de Troie a fait son apparition à la fin du mois de juin Il possède des fonctions de porte dérobée et peut attaquer d autres ordinateurs du réseau. Plates-formes Au cours du premier semestre 2011, l'essentiel des programmes malveillants a été écrit pour les systèmes Windows. Un programme maveillant sur 250 n est pas destiné à Windows 2. La part des fichiers programmes Windows classiques (Win32) continue de diminuer. La perte de 0,3 % est toutefois compensée par la croissance des programmes.net (MSIL). Diff. 2011S1 2010S2 #2010 S1 % Diff S S1 Plate-forme #2011 S1 % #2010 S2 % 1 Win ,8 % ,1 % +15,3 % ,5 % +21,6 % 2 MSIL ,7 % ,4 % +40,5 % ,9 % +131,7 % 3 WebScripts ,3 % ,2 % +39,6 % ,4 % -20,8 % 4 Scripts ,1 % ,1 % -25,1 % 922 0,1 % -9,8 % 5 Mobile 803 0,1 % 55 <0,1 % +138,2 % 212 <0,1 % +273,1 % 6 Java 313 <0,1 % 517 <0,1 % -39,5 % 225 <0,1 % +39,1 % 7 *ix <0,1 % 382 <0,1 % -39,0 % 226 <0,1 % +3,1 % 8 NSIS <0,1 % 130 <0,1 % +0,8 % 260 <0,1 % -49,6 % Tableau 1 : top 8 des plates-formes au cours des trois derniers semestres Les quelques 0,5 % résiduels sont le fait de codes Web malveillants dont le nombre a nettement augmenté. En revanche, le nombre des programmes malveillants basés sur des scripts a diminué. Les programmes malveillants destinés aux appareils mobiles enregistrent une croissance marquée. Le type des fonctions nuisibles révèle une utilisation commerciale marquée - environ deux programmes malveillants pour Smartphone sur trois envoient des SMS à des numéros d'appel surtaxés. Les programmes espions et les portes dérobées ont nettement progressé. Les cybercriminels sont en train de développer un nouveau domaine d application qui sera observé au cours des prochains mois au sein du G Data SecurityLabs. 2 Total des fichiers programmes pour systèmes Windows 32 bits et 64 bits et des programmes.net (MSIL). 3 Les "scripts" sont des scripts Batch ou Shell ou des programmes rédigés en langage VBS, Perl, Python ou Ruby. 4 *ix désigne tous les dérivés Unix, tels que Linux, FreeBSD, Solaris, etc. 5 NSIS est la plate-forme d installation notamment utilisée pour installer le lecteur multimédia Winamp. Copyright 2011 G Data Software AG 7

9 Tendances 2011 Le tableau suivant retrace l'évolution attendue des différentes catégories des programmes malveillants et des plates-formes. Catégorie Chevaux de Troie Portes dérobées Téléchargeurs/Injecteurs Logiciels espions Logiciels publicitaires Virus/Vers Rootkits (outils de dissimulation d'activité) Exploits Win32 Scripts web Java MSIL Mobile *ix Tendance Tableau 2 : évolution attendue des catégories de programmes malveillants et des plates-formes Copyright 2011 G Data Software AG 8

10 Logiciels malveillants sur mobiles Les appareils mobiles sous système d'exploitation Android gagnent en popularité. Les analystes de chez IDC ont qualifié Android de futur "King of the Hill". Sa popularité croissante intéresse aussi les auteurs de programmes malveillants destinés à cette plate-forme. G Data prévoit en conséquence un potentiel élevé de risques pour les appareils mobiles. L'évolution des programmes malveillants mobiles pourrait être plus rapide que celles des programmes malveillants destinés aux ordinateurs de bureau, car les structures d'exploitation sont déjà en place : les programmes malveillants pour mobile n'en sont déjà plus leurs balbutiements. La découverte d'applications contaminées par du code nuisible sur Google Android Market a par exemple déjà fait la une des médias. Les possibilités croissantes des smartphones impliquent une popularité de plus en plus importante. Les utilisateurs sont par exemple très nombreux à utiliser ces appareils pour des services de paiement et deviennent en conséquence très séduisants pour les cybercriminels. Les numéros SMS surtaxés constituent aussi une autre possibilité de profit rapide. Ces nouvelles possibilités sont déjà utilisées de manière intensive par les cybercriminels : plus de deux tiers de tous les programmes malveillants mobiles envoient des SMS surtaxés. Le nombre des portes dérobées, permettant l'intégration de smartphones dans des botnets augmente également. Spécialisé dans les opérations bancaires en ligne, Zeus in the Mobile (ZITMO) est un cheval de Troie qui a recours au processus mtan. À l'origine, l'envoi d'un numéro de transaction par SMS était censé offrir une sécurité supplémentaire grâce à la séparation des canaux. Étant donné que ZITMO intercepte le SMS avec le numéro de transaction, la sécurité du processus n'est plus garantie. Une des raisons du succès de la plate-forme Android est d être en partie moins chère que les produits sous ios et d offrir une plus grande diversité d'appareils. Mais cette diversité a un revers : elle rend le contrôle qualité très difficile et complique la diffusion des mises à jour, qui ne peuvent pas toujours être effectuées à temps pour tous les clients. En outre, les anciens modèles de téléphones ne permettent pas souvent la mise à jour. Ainsi, début juillet, le pourcentage de clients de la boutique Android Market encore en possession d'une ancienne version Android OS, était très élevé (voir illustration 1). La distribution des mises à jour aux fabricants d appareils, aux fournisseurs de service et aux clients finaux prend du temps. Un délai que les cybercriminels mettent à profit pour exploiter les failles de ses systèmes d'exploitation. Le décalage n'est pas de l'ordre de quelques jours, mais de plusieurs mois. Cette lacune sera de plus en plus surveillée à l'avenir par les cybercriminels. Copyright 2011 G Data Software AG 9

11 Illustration 1 : répartition des plates-formes Android des visiteurs de la boutique Android (source : En dehors des risques matériels, le facteur humain ne doit pas être non plus sous-estimé : les demandes d'autorisation affichées lors de l'installation sont confirmées rapidement, sans réelle attention. Les applications peuvent ainsi recueillir des informations, envoyer des SMS, etc. Les applications manipulées de Zsone sur la boutique Google Android Market en sont un exemple. Ces applis qui ciblent pour l instant seulement les utilisateurs chinois, envoient à l'insu de l'utilisateur des demandes d'abonnement pour des numéros SMS surtaxés. L'utilisateur ne voit pas les SMS mais constate les dégâts en recevant sa facture. Illustration 2 : une application contaminée de Zsone s'octroie de nombreuses autorisations sur le téléphone portable, pouvant être préjudiciables à l'utilisateur. (Source : G Data Software) Conclusion Les appareils mobiles attirent de plus en plus l'attention des cybercriminels, ce qui génère la prolifération de nouveaux programmes malveillants, dont les pirates peuvent tirer toujours plus de profits. La hausse des chiffres de vente des appareils Android rend ce marché de plus en plus intéressant pour l'économie clandestine. Et les possibilités d'utilisation pour les Smartphones étant loin d'être épuisées, les nouvelles technologies seront toujours autant de nouvelles cibles d'attaque - le paiement avec smartphone par NFC (déployé sous Android depuis la version 2.3) en est un exemple. Copyright 2011 G Data Software AG 10

12 Événements du premier semestre 2011 Janvier /01. L'entreprise de communication australienne Fairfax accuse Vodafone de ne pas assez protéger les données de ses clients dans les bases de données de sorte que ces données peuvent être vues par de nombreuses personnes, entre autres par tous les revendeurs Vodafone. Ainsi, les informations personnelles telles que les protocoles d'appels et de SMS sont susceptibles de tomber entre les mains de tiers, qui peuvent alors visualiser les données lors d'un processus "pay per view". La découverte de ce piratage est postérieure à l'affaire "Wikileaks/Cablegate". 11/01 Les comptes Twitter et YouTube du gouvernement nord-coréen sont piratés et détournés par des inconnus. Lors de l'anniversaire de Kim Jong-un, le successeur désigné de Kim Jong-il, les hackers répandent sur les comptes des messages hostiles au régime. En outre, les pirates publient une vidéo animée qui le montre à bord d'une voiture de sport, roulant sur des personnes dans le besoin. Les membres du forum Internet sud-coréen DC Inside ont revendiqué cette attaque. Capture d'écran 1: une vidéo animée montre Kim Jong-un (source : YouTube.com) 16/01 L'Office fédéral allemand de la police criminelle appréhende une bande bulgare qui avait utilisé la technique du skimming pour pirater des distributeurs automatiques de billets à Dresde. Les trois hommes sont pris sur le fait dans une filiale de la banque alors qu'ils sont en train de préparer leur matériel. Le montant du butin n'a pas été rendu public. 23/01 Les comptes Facebook du président français Nicolas Sarkozy et du directeur de Facebook Mark Zuckerberg sont compromis. Les pirates publient sur les deux comptes des commentaires apparemment plausibles au nom des deux hommes. Il n'a pas été possible de préciser avec certitude la manière dont les malfaiteurs ont pu obtenir les autorisations d'accès en écriture. 24/01 L'Iran annonce l'instauration d'une cyberpolice censée empêcher, entre autres, la communication entre les dissidents politiques, surtout via les réseaux sociaux. Suite aux protestations à propos de la réélection du président Mahmoud Ahmadinejad en 2009, le chef de la police Esmail Ahmadi Moghadam indique : "des groupes antirévolutionnaires et des dissidents ont pu contacter, grâce aux réseaux sociaux dans notre pays, des personnes à l'étranger et provoquer des troubles." 31/01. Phénomène insolite : l'ordinateur portable volé d'une Américaine de 25 ans envoie tout seul des mails et facilite ainsi le travail d'investigation de la police de Newport (Virginie). L'appareil prend des photos à l'aide de la webcam et les envoie à la propriétaire. Les deux personnes ayant été identifiées sur la photo publiée par la Capture d'écran 2: photo prise avec Copyright 2011 G Data Software AG 11 la webcam du portable volé (source : wavy.com)

13 police doivent maintenant expliquer la manière dont elles ont acquis l'ordinateur portable. Février /02. Aaron Barr, collaborateur de la société de sécurité informatique HBGary Federal, déclenche sur son employeur une attaque étendue à plusieurs niveaux par le groupe Anonymous. Il s'était au préalable vanté d'avoir identifié les membres du collectif d'hacktivistes Anonymous, qui avaient orchestré peu de temps auparavant l opération Payback. Le New York Times évoque l affaire et cette publicité incite les accusés à riposter. Profitant d un enchaînement d erreurs censées ne pas se produire dans une entreprise de sécurité, le collectif Anonymous subtilise les mots de passe des employés de la société HBGary et accède ainsi au compte Googl de Greg Hoglund, le cofondateur et directeur technique de la société. Outre des informations explosives sur les commandes d équipements, le groupe a aussi obtenu les données d'accès du site de Hoglund rootkit.com. Anonymous publie les données disponibles sur ce site ainsi que les mails de Hoglund. Le «coup de maître»d'aaron Barr lui a finalement valu de démissionner. 07/02. La police de Hambourg appréhende deux exploitants présumés de sites Internet par abonnement. Depuis la fin 2008, ces deux personnes avaient escroqué plus de visiteurs de ces sites Internet et encaissé presque 5 millions d'euros. Les escrocs proposaient toujours de télécharger un logiciel libre ou gratuit en version test et les visiteurs souscrivaient alors à leur insu des contrats d'abonnement. 09/02. Un utilitaire "Tinie App", vendu pour 25 USD environ, circule de manière clandestine et permet à pratiquement n'importe qui de concevoir sa propre appli nuisible pour Facebook, comme "Profile Creeps" ou "Creeper Tracker". Les utilisateurs sont encore nombreux à exécuter de telles applications sur Facebook et contribuent ainsi à leur propagation - à la grande joie des développeurs qui gagnent de l'argent à chaque clic grâce à des programmes d affiliation correspondants. 12/02. Les départements américains de la Justice et de la Sécurité intérieure ont commis une bévue en installant une bannière sur domaines, énonçant les peines encourues par les personnes en contact avec la pédopornographie. En raison d'une erreur de transmission des données, tous les domaines du fournisseur DNS FreeDNS ont été redirigés vers la bannière, au grand dam des internautes et propriétaires des sites Web. Capture d écran 3 : la bannière affichée erronément sur domaines (source : torrentfreak.com) 13/02. Les données clients de millions d'utilisateurs des sites Pixmania, Eidos, eharmony et diversitybusiness sont utilisées de manière clandestine. Certains enregistrements sont proposés à des prix compris entre et USD (1 400 à EUR environ). L'Argentin Chris Russo serait potentiellement Copyright 2011 G Data Software AG 12

14 responsable de ce recel de données. Pour le site eharmony, les données ont été subtilisées en exploitant une faille de type SQL Injection. 15/02. Un code nuisible est injecté sur les sites Internet BBC 6 Music Web et BBC 1xtra Radio à la suite d une contamination massive de sites Web vulnérables. Le code inséré copie les fichiers d'un site Web et essaie de contaminer le visiteur du site Web à son insu (infection Drive-by). Les attaquants utilisent un Phoenix Exploit Kit afin d'exploiter les failles sur l'ordinateur. 17/02. Une étude indique que le Royaume-Uni subit des dommages annuels à hauteur de 27 milliards de GBP (environ 30,7 milliards d'euros) en raison de la cybercriminalité. Le vol de propriété intellectuelle représente la part la plus importante des malversations, l'espionnage industriel et le chantage viennent ensuite. 28/02. Phénomène insolite : un homme de 48 ans de Naperville (Illinois) est victime d'une connaissance malhonnête rencontrée en ligne. En deux ans, il a transféré, à un contact féminin supposé, près de USD (env EUR) sur des comptes en Angleterre, aux USA, en Malaisie et au Nigéria. Lorsqu'elle a cessé de lui envoyer des nouvelles, il a craint qu'elle ait été kidnappée et a contacté la police. Mais cette dernière lui a expliqué qu'il avait été dupé. Même le permis de conduire que la dame lui avait envoyé était faux. C'était un permis modèle de l État de Floride. Mars /03. Google annonce officiellement la suppression, le mardi précédent, d un grand nombre d'applications sur la boutique Android Market. Les applications étaient contaminées par le code nuisible DroidDream, qui tente notamment d'accéder au répertoire racine dans les appareils mobiles concernés. Google a désinstallé à distance les programmes nuisibles sur les appareils concernés. L'entreprise publie un correctif "Android Market Security Tool March 2011" dont une version portant le même nom et diffusée sur certains sites s avérera ultérieurement contaminé par un cheval de Troie. 06/03. À la faveur d'une attaque de la centrale de la sûreté de l État égyptien, des opposants au régime trouvent des documents de la société britannique Gamma International, qui proposait au gouvernement d'acheter un programme espion, dénommé FinFisher. Le logiciel malveillant était conçu pour espionner, réaliser des écoutes et se rendre maître des ordinateurs des dissidents ; il était proposé au prix de USD (env EUR), formations incluses. 16/03. Une année après le démantèlement du source : android.com Illustration 3 : le graphique indique un net recul des envois de messages depuis la mi-mars (source : Spamcop.net) Copyright 2011 G Data Software AG 13

15 botnet Waledac, Microsoft publie à nouveau un rapport sur la désactivation efficace d'un botnet, l'un des plus importants au monde, dénommé Rustock. Le service Microsoft Digital Crimes Unit (DCU) estime qu'un million d'ordinateurs environ avaient été contaminés par le code nuisible Rustock et que le botnet avait envoyé des milliards de pourriels par jour. 17/03. Les pirates s en prennent aux serveurs de la société de sécurité RSA et volent des données permettant une authentification à deux facteurs SecurID. L'attaque, appelée Advanced Persistent Threat, a précisément lieu par le biais de fichiers Excel manipulés, envoyés à un petit groupe d'employés de la société RSA. À l'ouverture des fichiers.xls, le code nuisible profite d'une faille de sécurité de type Zero-Day pour obtenir un accès aux comptes privilégiés des utilisateurs. 18/03. Ashley Mitchell, 29 ans, est condamné à deux ans de prison pour le recel de 400 milliards de jetons virtuels de poker, d'une valeur de 12 millions USD (env. 8,4 millions EUR) à la société américaine Zynga. Zynga exploite entre autres le jeu en ligne mondialement connu Farmville. Mitchell a vendu une partie de son butin au marché noir pour GBP (env EUR). 20/03. La plate-forme TripAdvisor est victime d'un vol de données. Les criminels attaquent le célèbre site de voyage et volent les adresses mail de ses membres, enregistrées dans une base de données. TripAdvisor pallie immédiatement la faille et conclut à des dégâts peu importants. Un mail envoyé aux membres précise : "Vous risquez de recevoir du courrier indésirable à la suite de cet incident." 23/03. Des attaquants inconnus accèdent aux certificats SLL de sites Web existants, en piratant l'autorité de certification Comodo (Canada) avec un compte compromis. Les certificats volés le 15 mars sont utilisés pour contrefaire les sites Web. Comodo indique dans un rapport que les "attaques provenaient de plusieurs IP, principalement de l'iran". Avril /04. Les modalités d'une énorme attaque en masse grâce à une faille de type SQL Injection sont rendues publiques. L'attaque, appelée Lizamoon, injecte un code nuisible sur des millions de sites Web. Le nettoyage des sites touchés est difficile. Les visiteurs du véritable site Web ont été redirigés vers le site Internet FakeAV pour permettre à des personnes malintentionnées de gagner de l'argent. 08/04. Phénomène insolite : un éditeur logiciel publie une offre d'emploi pour recruter des programmatrices et des commerciales. Conditions requises : les postulantes doivent être âgées de 20 à 39 ans et être disposées à travailler non vêtues. L'exploitant, 63 ans, promet des offres d'emploi sérieuses au sein d'une entreprise sérieuse. 20/04. L'agence de sécurité américaine prévoit de publier à l'avenir ses alertes nationales antiterrorisme non seulement sur son propre site, à la télévision et à la radio, mais également sur les réseaux sociaux comme Facebook et Twitter. Les annonces effectuées dans les aéroports et celles publiées sur les sites Web du gouvernement n auront plus lieu d être. Copyright 2011 G Data Software AG 14

16 24/04. En Russie, les forces de sécurité libèrent le fils de 20 ans du développeur de logiciels de sécurité Eugene Kaspersky sain et sauf des griffes de ses cinq ravisseurs. Selon ses propres dires, aucune rançon n'a été versée. Les kidnappeurs réclamaient 3 millions d'euros. 27/04. Le premier client de la PlayStation Sony dépose plainte contre Sony Corp. en raison d'une protection insuffisante des données personnelles. Entre le 17 et le 19/04, les pirates ont attaqué les services en ligne Sony PlayStationNetwork (PSN) et Qriocity pour mettre la main sur 77 millions de données d'utilisateurs. Mai /05. La police finlandaise démantèle une bande d'escrocs spécialisés dans les opérations bancaires en ligne et arrête 17 suspects. Les clients de la banque finlandaise Nordea étaient la cible des criminels qui ont empoché 1,2 million d'euros à la faveur de plus de 100 transactions frauduleuses. À l'exception de euros, l'argent a pu être restitué à leurs propriétaires L'annonce de la mort d'oussama Ben Laden donne aux auteurs de programmes malveillants l'idée de duper les utilisateurs en diffusant les soi-disant photos des preuves. Les vecteurs d'attaque les plus spectaculaires sont dans ce cas les s contenant des liens avec un code nuisible et des documents Word manipulés pour exploiter une faille de sécurité (CVE ). 11/05. Le site Web de l'agence de communication russe Pravda est piraté et s en prend à son insu à ses visiteurs. Les criminels utilisent des scripts d'exploit intégrés, Capture d'écran 4 : Spam à propos d'oussama Ben Laden. qui attaquent la version Java vulnérable sur les ordinateurs des visiteurs du site Web. Les pirates n'ont pas modifié le visuel du site Web, ce qui permet une attaque imperceptible. 20/05. Le chercheur indépendant en matière de sécurité, Rosario, présente un exploit pour Microsoft Internet Explorer qui permet aux pirates d'avoir accès aux sites Web nécessitant l'ouverture d'une session comme Facebook. Après saisie des données de connexion, le site Web crée un cookie comme clé numérique. Si ce cookie est volé, des tiers peuvent également avoir accès aux pages normalement protégées. L'attaque est baptisée "Cookiejacking". 23/05. Le code source complet du cheval de Troie des services bancaires en ligne ZeuS est craqué. ZeuS a été incontestablement le cheval de Troie des services bancaires le plus puissant de ces dernières années. 25/05. Un thésard de l'université d'amsterdam alimente une base de données avec 35 millions d'enregistrements de profils Google. Celle-ci contient des noms, des adresses et des informations biographiques. La collecte d informations est en réalité une expérience pour mesurer la rapidité avec laquelle les détectives privés et les hameçonneurs par exemple peuvent se procurer de manière ciblée des informations personnelles. Google n'interdit pas l'indexation des listes. Copyright 2011 G Data Software AG 15

17 26/05. L'armée chinoise confirme pour la première fois l existence en son sein d une unité d'élite de cybersoldats. Les forces spéciales sont appelées "Cyber Blue Team". Nous ignorons s'il s'agit de pures mesures de défense ou de forces potentiellement offensives. Juin /06. Après les attaques sur les services en ligne Sony PSN et Qirocity, la plate-forme de Sony Pictures est piratée. Un groupe du nom Lulz Security, en abrégé LulzSec, en est le responsable. Selon ses propres indications, il a volé les informations personnelles de plus d un million d'utilisateurs. 04/06. L'unité DCU de Microsoft s emploie toujours à tenter de démasquer les responsables du botnet Rustock démantelé au mois de mars. L'unité DCU suppose que les responsables ont opéré en Russie et y opèrent encore. Ils publient donc pendant 30 jours des annonces dans des quotidiens populaires russes pour entrer en contact avec les propriétaires des adresses IP et domaines désactivés. 07/06. La société d'armement Lockheed Martin annonce qu'une attaque a eu lieu récemment sur son réseau. Elle a été rendue possible par le jeton RSA SecurID, volé en mars. Un vol des données a été empêché par leur intervention rapide. La société est en train de remplacer jetons SecureID La devise virtuelle Bitcoin est confrontée à une chute de son cours sur la plate-forme d'échanges Mt Gox. Un inconnu a piraté un compte Bitcoin essentiel (7,7 % de tous les Bitcoins), a remplacé l'argent virtuel en dollar US puis l'a reconverti peu de temps après. Le cours est passé de 17,50 USD par Bitcoin à un cent par Bitcoin jours après, le groupe de hackers LulzSec publie sa solution. Le groupe poursuivi par la police est accusé de nombreuses attaques de piratage et de déni de services sur les sites web des dernières semaines. LulzSec publie sur Internet de nombreux enregistrements capturés. Les experts considèrent LulzSec comme le successeur du groupe Anonymous. 29/06. Le réseau social MySpace est vendu. Le magnat des médias Rupert Murdoch avait acheté la plate-forme en 2005 pour 580 millions USD (env. 403 millions EUR) et la revend à une société publicitaire californienne avec une perte élevée pour 35 millions USD (env. 24 millions EUR). Le nombre des utilisateurs de MySpace est en recul en raison de l'essor de Facebook. 30/06. Le BKA présente les statistiques criminelles allemandes de 2010 : l'an passé, on a enregistré environ cas de malversations sur Internet. Par rapport à 2009, cela représente une augmentation de ces délits d'environ 20 %. Le montant des dommages s'élève à 61,5 millions d'euros environ. Copyright 2011 G Data Software AG 16