Rapport de McAfee Labs sur le paysage des menaces

Transcription

1 Rapport de McAfee Labs sur le paysage des menaces 4 e trimestre 213 Rapport Rapport McAfee Labs sur le paysage des menaces 4 e trimestre 213 1

2 À propos de McAfee Labs McAfee Labs est la principale source de référence à l'échelle mondiale en matière d'études et de renseignements sur les menaces, et les orientations stratégiques qu'il propose dans le domaine de la cybersécurité font autorité. Grâce à des données sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseau) recueillies à partir de millions de sondes, McAfee Labs fournit des renseignements en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques. Nous nous efforçons de rendre notre rapport sur les menaces plus attrayant et pertinent. Nous espérons que vous apprécierez cette nouvelle mouture. Introduction Merci de l'intérêt que vous portez au Rapport de McAfee Labs sur le paysage des menaces du 4 e trimestre 213. Cette édition est l'occasion pour notre rapport de faire peau neuve. Il est désormais plus court et comporte une section «Points marquants du trimestre» décrivant les principales menaces ou les problèmes de sécurité majeurs du trimestre concerné. Chaque édition se penchera également, tour à tour, sur les menaces et les préoccupations qui entourent les quatre grandes tendances informatiques : les technologies mobiles, les médias sociaux, le cloud et les gros volumes de données. Plus riche sur le plan visuel, la nouvelle version du rapport est également plus facile à consulter. Une chose ne change pas : les statistiques et enseignements que nous tirons de la mine de données sur les menaces collectées via notre réseau McAfee Global Threat Intelligence. Présentées sous la forme de séries chronologiques pour la plupart, ces données extrêmement intéressantes vous permettent de mieux appréhender le paysage des menaces en perpétuelle évolution. L'édition de ce trimestre révèle comment le secteur économique de la cybercriminalité a soutenu et même encouragé les attaques visant les terminaux de point de vente lancées contre les magasins Target aux Etats-Unis et d'autres chaînes de la grande distribution. Elle explique également comment les fichiers malveillants signés créent la suspicion autour de la marque de confiance accordée par les autorités de certification. Elle traite de l'impact de la découverte par McAfee Labs de la vulnérabilité de type «jour zéro» de Microsoft Office. Enfin, elle s'intéresse à la collecte excessive de données par les applications mobiles et à la relation de ces dernières avec les logiciels malveillants. Vincent Weafer, Vice-Président Directeur, McAfee Labs Rapport McAfee Labs sur le paysage des menaces 4 e trimestre 213 2

3 Sommaire Rapport de McAfee Labs sur le paysage des menaces 4 e trimestre 213 Ce rapport a été préparé et rédigé par : Benjamin Cruz Paula Greve Barbara Kay Haifei Li Doug McLean François Paget Craig Schmugar Rick Simon Dan Sommer Bing Sun James Walter Adam Wosotowsky Chong Xu Résumé 4 Points marquants du trimestre Le secteur économique du cybercrime et son rôle dans les attaques visant les terminaux de point de vente 6 Fichiers binaires malveillants signés : pouvons-nous faire confiance au modèle des autorités de certification? 9 L'exploit «jour zéro» ciblant Microsoft Office : une découverte de McAfee Labs 11 Logiciels malveillants sur mobiles : la progression implacable 12 Statistiques sur les menaces Logiciels malveillants 15 Menaces Internet 19 Menaces propagées par la messagerie 21 Menaces réseau 22

4 Résumé Résumé Le secteur économique du cybercrime a joué un rôle essentiel dans l'exécution des attaques ciblant les terminaux de point de vente et dans leur conversion en véritables profits. La croissance rapide du nombre de fichiers binaires malveillants signés égratigne la confiance des utilisateurs dans le modèle des autorités de certification. Nous voyons donc apparaître le premier exploit «jour zéro» connu du format.docx. Les attaques basées sur cet exploit sont toujours d'actualité. Il semble exister un lien entre les applications qui recueillent un nombre excessif de données télémétriques liées au terminal mobile et les applications qui contiennent ou activent des logiciels malveillants. Le suivi de la géolocalisation représente une préoccupation majeure. Le secteur économique du cybercrime et son rôle dans les attaques visant les terminaux de point de vente Notre premier article est consacré aux compromissions de données de cartes de crédit qui ont fait les gros titres ce trimestre et à la façon dont l'écosystème du cybercrime a soutenu les efforts des auteurs d'attaques. Ces compromissions ont permis de dérober un nombre d'enregistrements encore jamais atteint. La qualité du service offert par le secteur des logiciels malveillants à ses clients pirates est plus impressionnante encore. Ainsi, les auteurs de ces attaques ont acheté des logiciels malveillants tout faits, spécialement conçus pour les systèmes de point de vente, auxquels ils ont ensuite apporté des modifications sommaires pour cibler leurs offensives. Il est probable qu'ils aient à la fois testé les mécanismes de défense de leurs cibles et acheté des logiciels pour contourner ces protections. Ils disposaient même d'un marché noir dynamique et efficace pour la vente des informations de cartes de crédit volées, avec notamment un système de paiement avec monnaie virtuelle qui leur garantissait l'anonymat. Matières premières, systèmes de production, place de marché et support de transactions : tout y était, les voleurs n'avaient plus qu'à se servir. Fichiers binaires malveillants signés : pouvons-nous faire confiance au modèle des autorités de certification? La prolifération rapide des fichiers binaires malveillants signés, trimestre après trimestre et année après année, remet en question la viabilité du modèle des autorités de certification. Après tout, celui-ci est fondé sur le principe de confiance, alors que nous avons dénombré huit millions de fichiers binaires suspects. Bon nombre d'entre eux pourraient s'avérer des programmes potentiellement indésirables, sans véritable nature malveillante. Il n'en reste pas moins que l'utilisation abusive de certificats signés à l'aide de code légitime sape la confiance des utilisateurs. Certes, la plupart des fichiers binaires malveillants signés sont l'œuvre d'une poignée de brebis galeuses. Il serait toutefois déraisonnable de s'attendre à ce que les utilisateurs fassent la distinction entre certificats légitimes et certificats malveillants. Nous pensons que le secteur de la sécurité devrait les aider à démêler cet imbroglio. A quels certificats se fier? Quel niveau de confiance peut-on leur accorder? L'exploit «jour zéro» ciblant Microsoft Office : une découverte de McAfee Labs En novembre dernier, McAfee Labs a mis au jour un exploit «jour zéro» 1 qui tire parti d'une vulnérabilité de Microsoft Office. Nous avons identifié des attaques ciblées cherchant à faire main basse sur des données sensibles appartenant à des entités basées au Moyen-Orient et en Asie. McAfee Labs a travaillé sans relâche avec Microsoft pour décortiquer cet exploit et mettre au point des protections afin de le neutraliser. L'article analyse cette menace de façon approfondie et démontre non seulement combien elle est difficile à détecter, mais aussi qu'elle véhicule des attaques de type «jour zéro». Logiciels malveillants sur mobiles : la progression implacable Ce trimestre, notre article sur les grandes tendances de l'informatique est consacré aux logiciels malveillants ciblant les terminaux mobiles. Ce sujet a déjà été longuement développé dans le Rapport de McAfee sur le paysage des menaces du 1 er trimestre et dans celui du 3 e trimestre 213 3, où nous avions notamment abordé certaines familles spécifiques et très dangereuses de logiciels malveillants sur mobiles, ainsi que les dégâts qu'elles occasionnent. Ce trimestre, nous nous penchons sur la prévalence des applications mobiles qui recueillent à la fois des données utilisateur et des données télémétriques sur les terminaux mobiles, sur la relation entre ces applications trop gourmandes en informations et les logiciels malveillants, ainsi que sur les activités malveillantes courantes des menaces sur mobiles. McAfee Labs enregistre 2 nouvelles menaces chaque minute, soit plus de trois menaces à la seconde. Rapport McAfee Labs sur le paysage des menaces 4 e trimestre 213 4

5 Points marquants du trimestre Rapport McAfee Labs sur le paysage des menaces 4 e trimestre 213 5

6 Points marquants Le secteur économique du cybercrime et son rôle dans les attaques visant les terminaux de point de vente En décembre, une série d'attaques sur terminaux de point de vente lancées contre plusieurs chaînes de détaillants aux Etats-Unis ont été révélées au grand public. La première affaire à éclater concernait Target, et l'incident a été classé parmi les plus importantes fuites de données de tous les temps 4. Il n'a pas fallu longtemps pour que les compagnons d'infortune de Target fassent les gros titres : Neiman Marcus, White Lodging, Harbor Freight Tools, Easton-Bell Sports, Michaels Stores et 'wichcraft. S'il n'a pas été reconnu publiquement que les attaques subies par ces chaînes de la grande distribution en 213 étaient dues ou associées à un même individu, plusieurs d'entre elles ont été déployées à l'aide de logiciels malveillants disponibles à la vente. Bien que ce trimestre nous ait réservé des incidents sans précédent, les logiciels malveillants spécialement conçus pour les terminaux de point de vente ne sont pas une nouveauté. Ces dernières années, ils ont connu un succès considérable au sein des familles POSCardStealer, Dexter, Alina, vskimmer, ProjectHook et d'autres, et un grand nombre d'entre eux peuvent être achetés en ligne. CHRONOLOGIE D'ATTAQUES MAJEURES VISANT LES TERMINAUX DE POINT DE VENTE WHITE LODGING HARBOR FREIGHT NEIMAN MARCUS WICHCRAFT MICHAELS STORES TARGET EASTON-BELL SPORTS Avril 213 Mai Juin Juillet Août Septembre Octobre Novembre Décembre Janvier 214 White Lodging : du 3 mars 213 au 16 décembre 213 Harbor Freight Tools : du 6 mai 213 au 3 juin 213 Neiman Marcus : du 16 juillet 213 au 3 octobre 213 wichcraft : du 11 août 213 au 2 octobre 213 Target : du 27 novembre 213 au 15 décembre 213 Rapport McAfee Labs sur le paysage des menaces 4 e trimestre 213 6

7 Points marquants Target a confirmé la présence de malware sur ses systèmes de points de vente. En coopération avec divers organismes, McAfee Labs a pu identifier avec précision le logiciel malveillant utilisé dans le cadre de cette attaque. A ce jour, Target est la seule enseigne pour laquelle nous pouvons nous exprimer avec certitude. Nous savons également que Target a recours à une application pour terminaux de point de vente personnalisée 5. Il s'agit d'une information cruciale car cela signifie que les auteurs d'attaques n'ont pas été en mesure de disséquer le système «hors ligne», au moyen des écoutes aisément disponibles d'applications commerciales de systèmes de points de vente. Nous savons que, bien que le logiciel malveillant dont a été victime Target soit basé sur BlackPOS, il a fait l'objet de plusieurs personnalisations qui lui ont permis d'adapter son comportement à l'environnement précis de cette entreprise. Les informations relatives aux noms de domaine Active Directory, aux comptes d'utilisateur et aux adresses IP des partages SMB ont été codées en dur dans des scripts qui ont été introduits par certains composants du logiciel malveillant. Le logiciel malveillant ciblant Target contenait des scripts codés en dur censés voler les noms de domaine, les comptes d'utilisateur et d'autres données. Le script ci-dessous envoyait les données de suivi des données de cartes de crédit journalisées à un serveur distant. Il était appelé par les commandes présentées dans l'illustration précédente. Ce script envoyait les données de carte de crédit aux pirates à l'origine de l'attaque contre Target. Comme vous pouvez le constater, il s'agit d'un script en texte brut. De plus, aucune des données de cartes de crédit transmises n'était chiffrée. Celles-ci étaient envoyées en clair via FTP jusqu'à leur destination, et n'étaient soumises à aucun chiffrement durant tout leur transit. Toutes ces attaques ont été largement relayées par les médias et il est fort possible que nous ne prenions pas immédiatement la mesure de leur impact. Il faut cependant admettre que ces attaques ne sont guère sophistiquées. La famille de logiciels malveillants BlackPOS constitue un kit d'exploits commercialisé sur le marché noir et prêt à l'emploi, qui peut aisément être modifié et redistribué sans grandes compétences en programmation ou connaissances des fonctionnalités des logiciels malveillants. Le code source de BlackPOS a par ailleurs été divulgué à de nombreuses reprises. A l'instar de Zeus/ Citadel, Ghst, Poison Ivy ou d'autres kits dont le code a été révélé, les logiciels malveillants de cette famille peuvent être utilisés et modifiés à toutes fins utiles et par n'importe qui. Des vendeurs proposent BlackPOS («intercepteur de données de vidage et de mémoire cache») à la vente en ligne. Rapport McAfee Labs sur le paysage des menaces 4 e trimestre 213 7

8 Points marquants Les places de marché en ligne pratiquant la vente de numéros de carte de crédit volés sont florissantes. En outre, le contournement des contrôles et des applications antimalware répandus est monnaie courante. Tester des applications de sécurité populaires et s'assurer qu'elles ne détectent pas les chevaux de Troie générés par ces kits est un jeu d'enfant, et les cybercriminels ne s'en privent pas. Chaque jour, de nouveaux outils de chiffrement, programmes de compression et autres méthodes de dissimulation destinés à contourner les dispositifs de détection font leur apparition. Les logiciels permettant de tester les mécanismes de sécurité de leurs cibles et les kits d'exploits visant à contourner ces protections sont légion en ligne. Qu'est-il advenu des millions de numéros de carte de crédit dérobés à Target? Nous avons suivi leur trace et les voyons encore apparaître en gros volumes sur les principales places de marché de piratage de cartes de crédit (et ce, sous la forme de fichiers de vidage des données présentes sur leurs bandes magnétiques). En général, les voleurs déposent des lots comprenant entre un million et quatre millions de numéros. Lampeduza Republic est un marché noir des données de cartes de crédit particulièrement populaire. Sa structure hiérarchique bien organisée et sa constitution documentée en font une place de marché fonctionnelle et disciplinée. Le réseau de sites web de vente de Lampeduza est en outre très actif et contient de nombreux lots issus des récentes attaques évoquées ici. Les achats de données de cartes de crédit volées peuvent être réglés via de nombreux mécanismes anonymes de paiement par monnaie virtuelle, tels que Bitcoin. Nous sommes convaincus que ces compromissions auront des répercussions à long terme. Elles devraient entraîner des changements au niveau des approches de la sécurité, des obligations en matière de conformité et, bien entendu, des poursuites judiciaires encourues. Cela dit, la grande leçon à retenir est que le secteur économique du cybercrime prospère et qu'il a joué un rôle essentiel dans l'exécution de ces attaques et dans leur conversion en véritables profits. Rapport McAfee Labs sur le paysage des menaces 4 e trimestre 213 8

9 Points marquants Les utilisateurs ne peuvent tout simplement plus se fier aux certificats. Ils doivent s'appuyer sur la réputation du fournisseur qui a signé le fichier binaire, et sa capacité à sécuriser les données. Fichiers binaires malveillants signés L'accès sécurisé aux informations sur Internet est rendu possible par un système qui fait appel à des tiers de confiance, appelés «autorités de certification», pour délivrer des certificats numériques aux fournisseurs de services qui fournissent ces informations. Dans ce modèle basé sur la confiance, une application (ou fichier binaire) doit être «signée», ce qui signifie qu'elle a obtenu un certificat d'une autorité de certification ou de son proxy attestant que le fournisseur de services est propriétaire de l'application. Si un pirate peut obtenir un certificat pour une application malveillante (un fichier binaire signé de nature malveillante), il peut plus facilement exécuter une attaque parce que les utilisateurs s'appuient sur les certificats pour établir une relation de confiance avec le fournisseur de services. Mais qu'adviendrait-il si des milliers voire des millions d'applications malveillantes parvenaient à obtenir un certificat? Les utilisateurs finiraient par ne plus pouvoir faire confiance aux applications, ce qui remettrait en cause la viabilité du modèle des autorités de certification. McAfee Labs suit la prolifération des logiciels malveillants signés numériquement depuis plusieurs années. Non seulement cette menace se propage de plus en plus rapidement, elle devient en outre de plus en plus complexe. Au cours de ce trimestre, nous avons découvert plus de 2,3 millions de nouveaux fichiers binaires malveillants signés. Cela représente une augmentation de 52 % par rapport au trimestre précédent. En termes annuels, le nombre de fichiers de ce type découverts en 213 (près de 5,7 millions) a plus que triplé par rapport à 212. NOUVEAUX FICHIERS BINAIRES MALVEILLANTS SIGNÉS Le nombre de fichiers binaires malveillants signés présents dans notre bibliothèque a triplé en 213 pour atteindre plus de 8 millions Les pirates signent les logiciels malveillants pour les faire apparaître dignes de confiance aux yeux des utilisateurs et des administrateurs, mais également pour échapper à la détection des logiciels de sécurité et contourner les stratégies de protection des systèmes. Bon nombre utilisent les signatures de certificats achetés ou volés, tandis que d'autres fichiers binaires sont autosignés ou signés à l'aide de certificats de test. La signature avec des certificats de test est parfois utilisée dans le cadre d'attaques d'ingénierie sociale ou d'attaques ciblées e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim Rapport McAfee Labs sur le paysage des menaces 4 e trimestre 213 9

10 Points marquants NOMBRE TOTAL DE FICHIERS BINAIRES MALVEILLANTS SIGNÉS De même, les programmes signés par Tuguu SL, Payments Interactive SL et Lunacom Interactive Ltd. référencent secdls.com, tuguu.com ou domaiq.com, lesquels appartiennent tous à la même entité. Ces entités assurent la promotion de services de groupage de logiciels, de paiement à l'installation, d'analyse, de publicité et autres. Une fois ces découvertes prises en compte, les deux principaux coupables du trimestre, Tuguu SL et DownloadMR, représentent un tiers de tous les nouveaux logiciels malveillants signés. Il ne s'agit en aucun cas d'une liste exhaustive dans la mesure où il existe de nombreux autres certificats associés à ces réseaux de distribution de contenu. Toutefois, la prise de conscience de l'existence de cette pratique parmi les développeurs de logiciels malveillants offre une explication à la croissance rapide des logiciels malveillants signés. 2 1 SUJETS DE CERTIFICATS LIÉS À DES FICHIERS BINAIRES MALVEILLANTS SIGNÉS 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim % D'où proviennent donc ces logiciels malveillants signés? Bien qu'un certain nombre des logiciels malveillants signés exploitent des certificats volés, achetés ou détournés, leur croissance est pour l'essentiel due à des réseaux de distribution de contenu douteux. Il s'agit de sites web et d'entreprises permettant aux développeurs d'envoyer leurs programmes, ou d'une URL associée à une application externe qui l'intègre dans un programme d'installation signé. Les développeurs peu scrupuleux et malintentionnés bénéficient ainsi non seulement d'un canal de distribution, mais également d'un vernis de légitimité. Le tableau suivant présente les principaux sujets, ou signataires, de certificats associés aux fichiers binaires malveillants signés. En creusant davantage, nous découvrons que plusieurs sujets de certificats associés à des fichiers binaires malveillants signés sont liés aux mêmes réseaux de distribution de contenu suspects. Par exemple, les fichiers binaires signés par Firseria SL et d'autres signés par PortalProgramas extraient leur contenu de downloadmr.com. 5 % Firseria SL AND LLC Tuguu SL Payments Interactive SL Corleon Group Ltd. 4 % 3 % 3 % 3 % 3 % PortalProgramas ITNT SRL Lunacom Interactive Ltd. Artur Kozak Autres 8 % 6 % 6 % Source: McAfee Labs, 214. Rapport McAfee Labs sur le paysage des menaces 4 e trimestre 213 1

11 Points marquants L'exploit «jour zéro» ciblant Microsoft Office Début novembre 213, McAfee Labs a détecté un exploit «jour zéro» 6 qui ciblait Microsoft Office 7. Nous avons observé quelques premiers exemples prenant pour cible des entreprises de premier plan au Moyen-Orient et en Asie (certaines liées à l'armée pakistanaise). Ces attaques ciblées tentaient de voler des données sensibles en localisant des types de fichiers spécifiques (tels que.pdf,.txt,.ppt,.doc et.xls) dans l'environnement de la victime, puis en les exfiltrant. Cette vulnérabilité, CVE , a été corrigée dans le correctif Microsoft de décembre MS Les produits de sécurité McAfee ont également été mis à jour pour bloquer les attaques utilisant cet exploit 9. Cette attaque «jour zéro» exploite le format Word Open XML (docx) 1 et, apparemment, un contrôle ActiveX afin de contourner certaines protections liées au dans les navigateurs («heap-spraying») 11. Les attaques par «heap-spraying» dans Office via des objets ActiveX constituent une nouvelle tactique d'exploitation. Auparavant, les attaquants choisissaient généralement Flash Player pour exécuter les attaques de ce type dans Office. Cela prouve une nouvelle fois que les techniques d'attaques évoluent en permanence. Depuis que McAfee Labs a identifié cette menace, nous avons collaboré avec d'autres chercheurs et identifié plus de 6 variantes uniques, ce qui indique que cette vulnérabilité est largement exploitée par de nombreux pirates. Nous avons même observé des variantes du cheval de Troie Citadel 12 distribué via cet exploit. Notre collection compte désormais environ 5 exemples uniques de logiciels malveillants basés sur cet exploit. L'échantillon le plus ancien que nous ayons identifié date de la mi-juillet 213. La vulnérabilité CVE est le premier exploit en circulation à tirer parti du format Open XML. Par le passé, de nombreuses personnes pensaient que le format.docx était relativement sûr par rapport au format de fichier binaire Office «violé» 13. Elles ont dû se raviser. Cet effet de surprise pourrait être la principale raison pour laquelle personne n'avait détecté cette menace : comme les fichiers.docx n'étaient pas considérés comme vulnérables, ils n'étaient pas exécutés dans un environnement restreint de type «sandbox». Par ailleurs, l'exploit avait recours à une nouvelle technique pour exécuter une attaque par «heap-spraying» sans script parce que les opérations de script sont plus facilement identifiées et bloquées par les fonctions de sécurité améliorées d'office 27 et des versions ultérieures. Plus important (et plus inquiétant) encore, cette faille est entièrement documentée et son exploitation existe sous forme active et en tant POC, ce qui facilite considérablement l'intégration de l'exploit par d'autres acteurs dans de nouvelles attaques, de nouveaux kits d'exploits, etc. Au cours de notre analyse, nous avons également appris que la fonction Prévention de l'exécution des données n'est pas activée par défaut dans Office Cela génère de nouvelles inquiétudes. Sans la Prévention de l'exécution des données, même une attaque par «heap spraying» moins complexe que celle-ci peut exploiter une cible avec succès. Rapport McAfee Labs sur le paysage des menaces 4 e trimestre

12 Points marquants Les logiciels malveillants exploitent le consentement donné par les utilisateurs pour le partage de données des applications mobiles afin de suivre les informations de géolocalisation et recueillir des données personnelles. 2,4 millions de nouveaux échantillons de logiciels malveillants sur mobiles ont été ajoutés en 213, soit une augmentation de 197 % par rapport à 212. Logiciels malveillants sur mobiles : la progression implacable Nous avons recueilli 2,47 millions de nouveaux échantillons de logiciels malveillants sur mobiles en 213, dont 744 au cours de ce seul trimestre. Notre collection de logiciels malveillants sur mobiles comptait 3,73 millions d'échantillons à la fin de l'année, soit une augmentation stupéfiante de 197 % par rapport à la fin 212. Les logiciels malveillants peuvent atterrir sur un terminal mobile par pratiquement tous les vecteurs d'attaque communément associés aux autres types de postes clients : le plus souvent sous forme d'application téléchargée, mais également par les visites de sites malveillants, par spam, par SMS malveillants ou par publicités contenant des logiciels malveillants. Il est intéressant de se pencher sur la prévalence des applications mobiles qui recueillent à la fois des données utilisateur et des données télémétriques sur les terminaux mobiles, sur la relation entre ces applications trop gourmandes en informations et les logiciels malveillants, ainsi que sur les activités malveillantes courantes des menaces sur mobiles NOUVEAUX LOGICIELS MALVEILLANTS SUR MOBILES 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim Depuis le Rapport de McAfee Labs sur le paysage des menaces du 3 e trimestre 213, 15 nous sommes passés d'un décompte de familles de logiciels malveillants à un décompte d'échantillons uniques (nombre de hachages) pour établir nos rapports sur les logiciels malveillants sur mobiles. Nous avons pris cette décision pour deux raisons. Premièrement, nous voulions que la méthode utilisée pour les logiciels malveillants sur mobiles soit cohérente avec celle employée pour dénombrer tous les logiciels malveillants. Deuxièmement, en rapportant le nombre total de variantes au lieu du nombre total de familles de logiciels malveillants sur mobiles, nous présentons un tableau plus précis de l'impact des logiciels malveillants sur mobiles sur les utilisateurs NOMBRE TOTAL DE LOGICIELS MALVEILLANTS SUR MOBILES 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim Rapport McAfee Labs sur le paysage des menaces 4 e trimestre

13 Points marquants Comme indiqué dans le Mobile Security Threat Report (Rapport sur la sécurité mobile) de McAfee publié récemment 16, nous avons constaté qu'une proportion extraordinairement élevée des applications mobiles, à savoir 82 %, effectue un suivi sur l'utilisation des réseaux Wi-Fi et de données, la mise sous tension du terminal ou votre localisation actuelle ou la plus récente. Par ailleurs, 8 % des applications recueillent des informations de localisation et 57 % suivent l'utilisation du téléphone. Bien sûr, l'essentiel du suivi est anodin. Nous sacrifions notre vie privée et nos données identifiables pour bénéficier en contrepartie d'une plus grande commodité, de certains accès et d'une possibilité de personnalisation. Mais qu'en est-il de l'exception, l'application dont le comportement de collecte de données se démarque de celui des autres applications de sa catégorie? McAfee Labs possède une base de données de réputation pour les applications mobiles. Lorsqu'une application se comporte de façon significativement différente des autres de sa catégorie, nous pouvons augmenter le niveau de risque reflété dans son score de «partage» d'éléments de confidentialité. Plus le score est élevé, plus le nombre de données confidentielles qu'elle partage par rapport aux autres applications de sa catégorie est élevé. Au sein de chaque catégorie et pour chaque application, un score faible signifie que l'application recueille très peu d'informations ou se comporte conformément à ce qu'un utilisateur peut attendre en lisant sa description. Nous avons également découvert qu'il semble exister un lien entre les applications qui recueillent un nombre excessif de données télémétriques liées au terminal mobile (tel que mesuré par nos scores de partage d'éléments de confidentialité) et les applications qui contiennent ou activent des logiciels malveillants. Plus une application recueille de données par rapport aux autres applications de sa catégorie, plus vous devez vous soucier d'éventuelles fuites de données, voire d'un vol de données potentiel. En fait, lorsque nous avons examiné les 1 applications de notre base de données de réputation des applications mobiles affichant les scores de partage d'éléments de confidentialité les plus élevés, nous avons constaté que six d'entre elles contenaient des logiciels malveillants. Ces 1 applications lisent le numéro d'identification du terminal et suivent sa dernière localisation connue. En analysant davantage le comportement des logiciels malveillants sur mobiles, nous notons deux choses particulièrement intéressantes. Premièrement, le comportement le plus fréquent, manifesté par un tiers des logiciels malveillants, consiste à recueillir et à transmettre les données télémétriques du terminal mobile. Les logiciels malveillants envoient des données pouvant être utilisées pour dresser le profil du comportement du propriétaire du terminal mobile. Nous avons également constaté une prévalence élevée d'actes généralement associés au détournement de terminal, tels que la transformation du terminal mobile en robot ou l'installation d'autres logiciels encore plus malveillants. Deuxièmement, du point de vue des tendances, les logiciels malveillants sur mobiles semblent évoluer : auparavant axés sur l'exploitation des vulnérabilités, ils adoptent désormais un comportement davantage destiné à la création de profils et au détournement des terminaux. Ainsi, les déplacements du propriétaire du terminal constituent un type d'informations qui semble avoir pris de la valeur. Le partage d'informations de suivi avec une application mobile peut semble anodin ou constituer tout au plus un problème de confidentialité, mais il a en de profondes implications pour la sécurité des entreprises dans un monde où l'utilisation d'équipements personnels sur le lieu de travail est de plus en plus fréquente. Un logiciel malveillant intelligent installé directement ou indirectement sur le téléphone du PDG par une application mobile douteuse, qui se contente apparemment de suivre les informations de localisation, peut en réalité fournir des informations à des concurrents, à des fournisseurs, à des analystes financiers, à des maîtres chanteurs ou même à certaines personnes qui souhaiteraient attenter à son intégrité physique. NOUVEAUX LOGICIELS MALVEILLANTS AXÉS SUR LE PIRATAGE DES MOBILES 45 % 4 % 35 % 3 % 25 % 2 % 15 % Déc. 212 Déc % 5 % % Envoi d'informations sur le téléphone Logiciels espions Logiciels publicitaires Envoi de SMS surfacturés Fraude Exploits Logiciels malveillants prenant le contrôle du mobile Portes dérobées/ Réseaux de robots Outils de piratage Téléchargeurs/ Programmes d'installation Destructeurs Envoi de spam par SMS Rapport McAfee Labs sur le paysage des menaces 4 e trimestre

14 Statistiques sur les menaces Rapport McAfee Labs sur le paysage des menaces 4 e trimestre

15 STATISTIQUES SUR LES MENACES Logiciels malveillants NOUVEAUX LOGICIELS MALVEILLANTS er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim NOMBRE TOTAL DE LOGICIELS MALVEILLANTS 25 2 La collection de McAfee Labs a grandi de 15 % au cours du trimestre. Elle contient aujourd'hui plus de 196 millions d'échantillons de logiciels malveillants différents er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim Rapport McAfee Labs sur le paysage des menaces 4 e trimestre

16 STATISTIQUES SUR LES MENACES NOUVEAUX LOGICIELS DE DEMANDE DE RANÇON Le volume de nouveaux échantillons de logiciels de demande de rançon a doublé du 4 e trimestre 212 au 4 e trimestre 213. McAfee Labs a ajouté un million de nouveaux échantillons en er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim NOMBRE TOTAL DE LOGICIELS DE DEMANDE DE RANÇON er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim Rapport McAfee Labs sur le paysage des menaces 4 e trimestre

17 STATISTIQUES SUR LES MENACES NOUVEAUX LOGICIELS MALVEILLANTS EXPLOITANT DES ROOTKITS 25 2 Le nombre de nouveaux rootkits a chuté de 73 % ce trimestre, poursuivant ainsi un déclin amorcé en er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim NOMBRE TOTAL DE LOGICIELS MALVEILLANTS EXPLOITANT DES ROOTKITS er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim Rapport McAfee Labs sur le paysage des menaces 4 e trimestre

18 STATISTIQUES SUR LES MENACES NOUVELLES MENACES LIÉES AU SECTEUR DE DÉMARRAGE PRINCIPAL (MBR) 8 McAfee Labs a ajouté 2,2 millions de nouveaux échantillons liés à des attaques du secteur de démarrage principal en er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim Variantes de familles avec charges actives connues ciblant le secteur de démarrage principal Composants ciblant le secteur de démarrage principal identifiés NOMBRE TOTAL DE MENACES LIÉES AU SECTEUR DE DÉMARRAGE PRINCIPAL er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim Variantes de familles avec charges actives connues ciblant le secteur de démarrage principal Composants ciblant le secteur de démarrage principal identifiés Rapport McAfee Labs sur le paysage des menaces 4 e trimestre

19 STATISTIQUES SUR LES MENACES Menaces Internet NOUVELLES URL SUSPECTES Nous avons enregistré une augmentation de 4 % du nombre d'url suspectes en e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim URL Domaines associés EMPLACEMENT DES SERVEURS HÉBERGEANT DU CONTENU SUSPECT 3,2 % 31,9 % Amérique du Nord Afrique Asie/Pacifique,4 % 8,4 % 55,9 % Australie Europe et Moyen-Orient Amérique latine,1 % Rapport McAfee Labs sur le paysage des menaces 4 e trimestre

20 STATISTIQUES SUR LES MENACES NOUVELLES URL DE PHISHING URL Domaines associés e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim PRINCIPAUX PAYS HÉBERGEANT DES URL DE PHISHING PRINCIPAUX PAYS HÉBERGEANT DES URL DE SPAM 27 % 24 % 3 % 3 % 4 % 5 % 5 % 6 % 47 % 3 % 4 % 5 % 5 % 12 % 47 % Etats-Unis République tchèque Allemagne Brésil France Canada Russie Japon Pays-Bas Royaume-Uni Autres Rapport McAfee Labs sur le paysage des menaces 4 e trimestre 213 2

21 STATISTIQUES SUR LES MENACES Menaces propagées par la messagerie VOLUME D' S DANS LE MONDE En milliers de milliards de messages er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim Spam s légitimes INFECTIONS PAR RÉSEAUX DE ROBOTS CIBLANT LA MESSAGERIE DANS LE MONDE er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim Rapport McAfee Labs sur le paysage des menaces 4 e trimestre

22 STATISTIQUES SUR LES MENACES PRÉVALENCE DES RÉSEAUX DE ROBOTS PROPAGATEURS DE SPAM DANS LE MONDE 3 % 4 % 12 % 35 % Cutwall Kelihos 15 % Slenfbot Darkmailer Festi 31 % Autres Menaces réseau PRINCIPALES ATTAQUES RÉSEAU Les attaques exploitant le navigateur, qui tirent profit essentiellement des vulnérabilités d'internet Explorer et de Firefox, ont représenté la principale menace pour le réseau au cours des six derniers trimestres. 8 % 9 % 12 % Navigateur Appel de procédure à distance Exécution forcée de scripts sur sites web 45 % Injection de code SQL 26 % Autres Rapport McAfee Labs sur le paysage des menaces 4 e trimestre

23 STATISTIQUES SUR LES MENACES MENACES RÉSEAU 16 Attaque exploitant le navigateur Exécution forcée de scripts sur sites web Appel de procédure à distance Injection de code SQL Autres er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim NOMBRE TOTAL DE MENACES RÉSEAU 4 Attaque exploitant le navigateur 35 Exécution forcée de scripts 3 sur sites web Appel de procédure à distance Injection de code SQL Autres 5 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim Rapport McAfee Labs sur le paysage des menaces 4 e trimestre

24 À propos de McAfee McAfee, filiale à part entière d'intel Corporation (NASDAQ : INTC), met ses compétences au service des entreprises, du secteur public et des particuliers pour les aider à bénéficier en toute sécurité des avantages d'internet. McAfee propose des solutions et des services proactifs réputés, qui assurent la sécurisation des systèmes, des réseaux et des terminaux mobiles dans le monde entier. Avec sa stratégie visionnaire Security Connected, une approche innovante de la sécurité optimisée par le matériel, et son réseau mondial de renseignements sur les menaces Global Threat Intelligence, McAfee consacre tous ses efforts à garantir à ses clients une sécurité sans faille Les estimations actuelles atteignent 11 millions d'enregistrements de transactions Attaque par «heap-spraying» : méthode de distribution de la charge active des logiciels malveillants selon laquelle un morceau de code est injecté dans une adresse mémoire prévisible et repositionnable. Le code malveillant peut tenter de s'injecter dans l'espace d'adressage d'un autre processus pour prendre le contrôle d'un système Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de McAfee. Les informations présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques. McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. McAfee fournit les spécifications et les descriptions mentionnées dans le présent document à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright 214 McAfee, Inc. 6989rpt_qtr-q4_314_fnl_PAIR Rapport McAfee Labs sur le paysage des menaces 4 e trimestre