Rapport sur les données de sécurité Microsoft

Transcription

1 Rapport sur les données de sécurité Microsoft Volume 13 JANVIER-JUIN 2012 PRINCIPAUX RÉSULTATS

2

3 Rapport sur les données de sécurité Microsoft Ce document est fourni à titre informatif uniquement. MICROSOFT N'APPORTE AUCUNE GARANTIE, EXPRESSE, IMPLICITE OU LÉGALE, QUANT AUX INFORMATIONS CONTENUES DANS CE DOCUMENT. Ce document est fourni «en l'état». Les informations et les avis qu'il contient, y compris les URL et autres références à des sites Web Internet, pourront faire l'objet de modifications sans préavis. Vous assumez tous les risques liés à son utilisation. Copyright 2012 Microsoft Corporation. Tous droits réservés. Les noms de produits et de sociétés réels mentionnés dans ce document sont des marques de leurs propriétaires respectifs. JANVIER JUIN

4 Rapport sur les données de sécurité Microsoft, volume 13 Le volume 13 du rapport sur les données de sécurité Microsoft (SIRv13) fournit un aperçu précis des vulnérabilités et attaques logicielles, sur les menaces des codes malveillants et sur les logiciels potentiellement indésirables de Microsoft et de tiers. Microsoft a élaboré cet aperçu sur la base d'analyses de tendances détaillées réalisées au cours des dernières années, avec un intérêt particulier pour le premier semestre de Ce document résume les principaux résultats du rapport.le rapportcomplet comprend également une analyse détaillée des tendances observées dans plus de 100 pays/régions du monde et propose des pistes de gestion des risques menaçant votre organisation, vos logiciels et votre personnel. Vous pouvez télécharger le rapport complet à l'adresse suivante : 4 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

5 Évaluation des menaces à l'échelle internationale Vulnérabilités Les vulnérabilités sont définies comme les points faibles d'un logiciel permettant à une personne mal intentionnée de compromettre l'intégrité, la disponibilité ou la confidentialité de ce logiciel ou des données qu'il traite. Dans le pire des cas, elle peut aller jusqu'à permettre aux personnes mal intentionnées d'exploiter le système compromis afin d'exécuter du code malveillant, sans que l'utilisateur ne s'en rende compte. 1 Figure 1. Tendances concernant la gravité des vulnérabilités (CVE), la complexité des vulnérabilités, les divulgations par le fournisseur et les divulgations par type, pour l'ensemble du secteur des logiciels, 2S09-1S12 1 La nomenclature utilisée dans ce rapport pour désigner différentes périodes de référence correspond au format nsaa, où ns se rapporte à la première (1) ou seconde (2) moitié de l'année, et où AA représente l'année. Par exemple, 2S09 représente la période couvrant le deuxième semestre 2009 (du 1er juillet au 31 décembre) et 1S12 désigne la période couvrant le premier semestre de 2012 (du 1er janvier au 30 juin). JANVIER JUIN

6 Les divulgations de vulnérabilités dans tout le secteur au 1S12 étaient supérieures de 11,3 % par rapport au 2S11 et de 4,8 % par rapport au 1S11. Cette augmentation inverse une tendance à la baisse faible enregistrée à chaque semestre depuis le 2S09 jusqu'au 2S11. La majeure partie de cette augmentation est imputable à des vulnérabilités au niveau des applications, tandis que les vulnérabilités au niveau des systèmes d'exploitation poursuivent leur phase descendante. Codes malveillants Un code malveillant est un code qui profite de vulnérabilités logicielles afin d'infecter, de perturber ou de prendre le contrôle d'un ordinateur sans le consentement de l'utilisateur et, en général, sans même qu'il en soit conscient. Les codes malveillants visent des vulnérabilités dans des systèmes d'exploitation, des navigateurs Web, des applications ou des composants logiciels installés sur l'ordinateur. Pour plus d informations, téléchargez le volume 13 du rapport sur les données de sécurité Microsoft dans son intégralité depuis le site La figure 2 illustre la présence de différents types de codes malveillants détectés par les produits anti-programmes malveillants de Microsoft chaque trimestre du 1T11 au 2T12 par nombre d'ordinateurs uniques affectés. 6 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

7 Figure 2. Ordinateurs uniques signalant différents types de codes malveillants, 1T11-2T12 Le nombre d'ordinateurs signalant la présence de codes malveillants acheminés via HTML ou JavaScript est resté élevé au cours du premier semestre de 2012 ; cette tendance était principalement à imputer à la présence de Blacole, la famille de codes malveillants la plus couramment détectée au premier semestre Le nombre de codes malveillants Java, le deuxième type de codes malveillants le plus couramment détecté au 1S12, a augmenté au cours de cette période ; cet accroissement est du à une détection supérieure de codes malveillants pour CVE et CVE Les codes malveillants qui ciblent les vulnérabilités des lecteurs et éditeurs de documents arrivaient en troisième position des types de codes malveillants les plus souvent détectés au cours du 1S12, principalement en raison de détections de codes malveillants qui ciblent des versions plus anciennes d'adobe Reader. JANVIER JUIN

8 Familles de codes malveillants La figure 3 reprend les familles d'éléments apparentés aux codes malveillants les plus détectées au cours du premier semestre de Figure 3 Familles de codes malveillants les plus détectées par les produits anti-programmes malveillants de Microsoft au 1S12, par nombre d'ordinateurs uniques ; les nombres de détections sont foncés selon leur présence relative. Familles de codes malveillants Plateforme ou technologie 3T11 4T11 1T12 2T12 Blacole HTML/JavaScript CVE * Java Win32/Pdfjsc Documents IFrame malveillant HTML/JavaScript CVE * Java CVE Java CVE (MS10-046) Système d'exploitation JS/Phoex Java CVE Java ShellCode Shell code * Cette vulnérabilité est également utilisée par le kit Blacole ; les totaux présentés ici pour cette vulnérabilité excluent les détections de Blacole. Blacole, une famille de codes malveillants utilisée par le kit de codes malveillants «Blackhole» pour propager des programmes malveillants par le biais de pages Web infectées, était la famille de codes malveillants la plus couramment détectée au cours du premier semestre de Les personnes malveillantes potentielles achètent ou louent le kit Blacole sur des forums de pirates informatiques et par le biais de sources illégales. Il s'agit d'un ensemble de pages Web malveillantes contenant des codes malveillants visant des vulnérabilités au niveau des versions d'adobe Flash Player, Adobe Reader, Microsoft Data Access Components (MDAC), l'environnement d exécution Java (JRE) d'oracle, ainsi que d'autres produits et composants populaires. Lorsque la personne malveillante installe le kit Blacole sur un serveur Web malveillant ou compromis, les visiteurs qui n'ont pas installé les mises à jour de sécurité appropriées risquent d'être infectés par une attaque via des téléchargements intempestifs. 8 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

9 Programmes malveillants et potentiellement indésirables Sauf spécification contraire, les informations de cette section ont été compilées à partir de données de télémesure générées à partir de plus de 600 millions d'ordinateurs dans le monde et plusieurs des services en ligne les plus sollicités sur Internet. Les taux d'infection sont indiqués à l'aide d'une unité appelée «ordinateurs nettoyés pour mille exécutions» (Computers Cleaned per Mille, CCM) et représentent le nombre d'ordinateurs signalés comme étant nettoyés au cours d'un trimestre toutes les exécutions de l'outil de suppression des programmes malveillants de Windows, disponible via Microsoft Update et le site Web du Centre de sécurité Microsoft. Pour fournir un aperçu global des modèles d'infection, la figure 4 indique les taux d'infection dans le monde à l'aide de l'unité CCM. Le nombre de détections et de suppressions dans les différents pays/régions peut varier fortement d'un trimestre à l'autre. Figure 4. Taux d'infection par pays/région au 2T12, par CCM JANVIER JUIN

10 Figure 5. Taux d'infection (CCM) par système d'exploitation et Service Pack au 2T12 «32»= version 32 bits ; «64» = version 64 bits. SP = Service Pack. RTM = release to manufacturing (version finale). Systèmes d'exploitation enregistrant au moins 0,1 % d'exécutions de l'outil de suppressions des programmes malveillants au total au 2T12. Ces données sont normalisées : le taux d'infection pour chaque version de Windows est calculé en comparant un nombre égal d'ordinateurs par version (par exemple, ordinateurs Windows XP SP3 par rapport à ordinateurs Windows 7 RTM). 10 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

11 Familles de menaces Figure 6. Tendances en matière de détection pour certaines familles importantes, du 3T11 au 2T12 Les deux détections génériques Win32/Keygen et Win32/Autorun étaient respectivement les première et deuxième familles les plus couramment détectées au 1S12. Keygen est une détection générique pour les outils qui génèrent des clés pour des versions de différents produits logiciels obtenus illégalement. Autorun est une détection générique pour les vers qui se répandent entre des volumes montés à l'aide de la fonction Autorun de Windows. Des modifications récentes au niveau de cette fonctionnalité dans Windows XP et Windows Vista ont rendu cette technique moins efficace, mais les personnes malveillantes continuent de diffuser des programmes malveillants qui essaient de cibler cette fonction. Les détections de la famille générique JS/IframeRef ont plus que doublé entre le 1T12 et le 2T12 après plusieurs trimestres de baisse modérée. IframeRef est une détection générique des balises de cadre en ligne (IFrame) HTML spécialement formées qui visent des sites Web contenant du code malveillant. JANVIER JUIN

12 Menaces pour les particuliers et les entreprises La comparaison des menaces rencontrées par les ordinateurs appartenant ou non à un domaine peut fournir un aperçu des différentes méthodes qu'utilisent les personnes mal intentionnées pour cibler les entreprises et les particuliers. Cette comparaison permet également de savoir quelles sont les menaces les plus susceptibles d'aboutir dans chaque environnement. Cinq familles sont présentes sur les deux listes, notamment les familles génériques Win32/Keygen et Win32/Autorun, ainsi que la famille de codes malveillants Blacole. Parmi les familles beaucoup plus répandues sur les ordinateurs appartenant à un domaine pendant au moins un trimestre figurent la famille générique JS/IframeRef et la famille de vers Win32/Conficker. Parmi les familles beaucoup plus présentes sur les ordinateurs n'appartenant pas à un domaine figurent Keygen et les familles de logiciels publicitaires JS/Pornpop et Win32/Hotbar. 12 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

13 Utilisation de Windows Update et de Microsoft Update Figure 7. Ordinateurs Windows mis à jour par Windows Update et Microsoft Update, à l'échelle internationale, La figure 7 montre l'augmentation du nombre d'ordinateurs mis à jour par Windows Update et Microsoft Update à l'échelle internationale au cours des quatre dernières années ; l'indexation est effectuée selon l'utilisation exhaustive des deux services en Depuis 2008, l'utilisation mondiale de Windows Update et Microsoft Update a augmenté de 60 %. La quasi totalité de cette croissance est imputable à l'utilisation accrue de Microsoft Update, laquelle s'élevait à 53 points de pourcentage entre 2008 et 2012 par rapport aux 6 points de pourcentage pour Windows Update. JANVIER JUIN

14 Windows Update fournit des mises à jour pour les composants Windows et les pilotes de périphériques Microsoft, ainsi que d'autres fournisseurs de matériel. Windows Update diffuse également les mises à jour de signature pour les produits anti-programmes malveillants de Microsoft et la publication mensuelle de l'outil de suppression des logiciels malveillants. Par défaut, lorsqu'un utilisateur active la mise à jour automatique, le client de mise à jour se connecte automatiquement au service Windows Update pour les mises à jour. Microsoft Update fournit toutes les mises à jour proposées par Windows Update, ainsi que des mises à jour pour d'autres logiciels Microsoft, comme le système Microsoft Office, Microsoft SQL Server et Microsoft Exchange Server. Les utilisateurs peuvent s'inscrire à ce service en installant les logiciels entretenus via Microsoft Update ou sur le site Web de Microsoft Update (update.microsoft.com/microsoftupdate). Microsoft recommande aux utilisateurs de configurer leurs ordinateurs pour que ces derniers utilisent Microsoft Update plutôt que Windows Update afin d'être sûrs de recevoir des mises à jour de sécurité opportunes pour des produits Microsoft. 14 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

15 Menaces liées au courrier électronique Courrier indésirable bloqué Les informations présentes dans cette section du rapport sur les données de sécurité Microsoft sont compilées à partir de données de télémesure fournies par Microsoft Exchange Online Protection, qui offre des services de filtrage de courrier indésirable, de courrier d'hameçonnage et de programmes malveillants pour des milliers de clients d'entreprises Microsoft qui traitent des dizaines de milliards de messages tous les mois. Figure 8. Messages bloqués par Exchange Online Protection, Juillet 2011-Juin 2012 Les volumes de courrier bloqués au 1S12 correspondaient à ceux du 2S11 ; ces quantités sont restées bien en deçà des niveaux constatés auparavant à la fin de l'année La baisse significative de courrier indésirable enregistrée au cours des trois derniers semestres s'est produite à la suite de mises hors service de plusieurs botnets de grande envergure émetteurs de courrier indésirable, tels que Cutwail (août 2010) et Rustock (mars 2011). JANVIER JUIN

16 Figure 9. Messages bloqués par Exchange Online Protection à chaque semestre, 2S08 1S12 Figure 10. Messages entrants bloqués par les filtres Exchange Online Protection au 1S12, par catégorie Les filtres de contenu FOPE permettent d'identifier plusieurs types courants de courrier indésirable. La figure 10 illustre la présence relative de ces types de courrier indésirable détectés au 1S RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

17 Sites Web malveillants Les sites d'hameçonnage sont hébergés dans le monde entier sur des sites d'hébergement gratuits, sur des serveurs Web compromis et dans de nombreux autres contextes. Figure 11. Sites d'hameçonnage pour hôtes Internet dans différentes régions du monde au 2S12 Les États-Unis (où se trouvent le plus grand nombre d'hôtes) disposent également d'un grand nombre de sites d'hameçonnage (2,9 pour hôtes Internet au 2S12) ; la Chine arrive en deuxième position et compte un nombre nettement moins important de sites d'hameçonnage (0,6 pour hôtes Internet). Figure 12. Sites de distribution de programmes malveillants pour hôtes Internet dans différentes régions du monde au 2T12 JANVIER JUIN

18 Un site de téléchargements intempestifs automatiques est un site Web qui héberge un ou plusieurs codes malveillants ciblant les vulnérabilités de navigateurs Web et de modules complémentaires de navigateurs. Les ordinateurs vulnérables peuvent être infectés par un programme malveillant après une simple visite d'un tel site Web, sans même que l'utilisateur tente de télécharger quoi que ce soit. Figure 13. Pages de téléchargements intempestifs automatiques indexées par Bing.com à la fin du 2T12, pour URL dans chaque pays/région Ce document résume les principaux résultats du rapport.le rapportcomplet comprend également une analyse détaillée des tendances observées dans plus de 100 pays/régions du monde et propose des pistes de gestion des risques menaçant votre organisation, vos logiciels et votre personnel. Vous pouvez télécharger le rapport complet à l'adresse suivante : 18 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

19

20 One Microsoft Way Redmond, WA microsoft.com/security