Rapport actualisé sur les menaces à la sécurité

Transcription

1 Rapport actualisé sur les menaces à la sécurité Ce rapport fourni un aperçu complet des événements et des tendances du premier semestre de l année, permettant ainsi aux entreprises de conserver un temps d avance par rapport à des menaces de plus en plus furtives.

2 Copyright. Sophos Plc. Toutes les marques déposées et tous les copyrights sont compris et reconnus par Sophos. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit sans le consentement préalable écrit de l éditeur.

3 Rapport sur les menaces à la sécurité : Juillet Présentation Depuis que les virus ont fait leur apparition dans l univers des entreprises au milieu des années 80, la menace qu ils représentent a considérablement évolué. Les premiers virus, créés par des fauteurs de trouble dont le but était d acquérir une certaine notoriété grâce à leur production ou de provoquer des dommages gratuitement, se répandaient lentement par le biais des disquettes, alors que les lecteurs réseau et la messagerie électronique, sans parler d Internet, leur étaient parfaitement inconnus. La motivation a changé ces dernières années et les programmes malveillants (malwares) sont désormais le fait, pour la plupart, de groupes criminels organisés, qui ne souhaitent pas se faire de la publicité, mais plutôt voler des identités, détourner des ordinateurs et les pirater pour envoyer du spam et faire chanter les entreprises avec des attaques par déni de service. Des criminels financièrement motivés créent et répandent de nouveaux programmes à une cadence accélérée. L organisme de test indépendant av-test.org affirme ainsi avoir enregistré plus de 11 millions de malwares différents. Les SophosLabs TM, réseau international de chercheurs et d analystes de Sophos, reçoivent chaque jour environ nouveaux échantillons de logiciels suspects. La plupart de ces échantillons sont des chevaux de Troie, conçus pour voler silencieusement les données personnelles des utilisateurs ou pour pirater leur ordinateur et en prendre le contrôle. Encore une fois, la souplesse accrue des méthodes de travail, la complexité des nouvelles menaces sur le fonctionnement opérationnel et l afflux de nouvelles escroqueries continuent à accabler les entreprises, le danger restant particulièrement important pour les mois à venir. Coup d œil sur 6 mois Nombre total de programmes malveillants existants : plus de 11 millions Plus grande menace par les programmes malveillants : les attaques d injection SQL contre les sites Web Nouvelles infections via Internet : 1 nouvelle page Web infectée détectée toutes les 5 secondes Pages Web liées au spam : 1 nouvelle page détectée toutes les 20 secondes Pays hébergeant le plus de programmes malveillants : les USA (38 %) Continent relayant le plus de messages de spam : l Asie (35 %) Messages électroniques contenant des pièces jointes infectées : 1 sur 2500 Proportion de spam dans la messagerie électronique professionnelle : 97 % Nouveaux types de spam : téléphones mobiles, Facebook et le spam par rétrodiffusion Principal hôte de programmes malveillants : Blogger (Blogspot.com) Les SophosLabs rencontrent également des virus très élaborés (par opposition aux chevaux de Troie), qui rappellent les malwares élaborés au début des années 90, tels que les virus polymorphes complexes qui font de gros efforts pour tenter d éviter la détection par les logiciels antivirus. Ce «flot continu de productions» du crime informatique nourrit l envoi massif de nouveaux malwares sur Internet, chaque jour, dans l espoir que certains parviendront à échapper à la vigilance des programmes antivirus d utilisateurs innocents, dont ils feront leurs prochaines victimes.

4 Web Pages Web malveillantes Dans la mesure où nous dépendons de plus en plus d Internet pour faire nos achats et obtenir des informations, le Web est devenu un terrain de chasse idéal pour les cybercriminels à la recherche d utilisateurs mal protégés et c est désormais le principal moyen utilisé par les pirates informatiques pour infecter les ordinateurs professionnels à l aide de malwares. En 2007, les SophosLabs ont découvert une nouvelle page Web infectée toutes les 14 secondes. Au cours du premier semestre, ce chiffre est monté à une page toutes les 5 secondes, soit pages malveillantes par jour en moyenne, 90 % d entre elles étant simplement des sites légitimes qui ont été piratés. Les exemples suivants ne représentent qu une infime partie des milliers de sites Web du monde entier qui sont concernés par une attaque malveillante et montrent que ce ne sont pas simplement les petits sites qui sont touchés : Janvier : des milliers de sites Web appartenant à des entreprises Fortune500, à des organismes gouvernementaux et à des centres scolaires et universitaires sont été infectés par un programme malveillant. 1 Février : le diffuseur anglais ITV a été la victime d une campagne de publicité infectée via Internet, conçue pour envoyer des «scarewares» aux utilisateurs Windows et Mac. 2 Mars : un site Web de ventes de billets pour l Euro de football a été piraté par des cybercriminels de manière à infecter l ordinateur des fans imprudents 3 et la société Trend Micro, spécialisée dans les antivirus, s est rendu compte que certaines de ses pages Web avaient été attaquées. 4 Avril : le site Web de Cambridge University Press a été attaqué et les utilisateurs de son dictionnaire en ligne ont subi des tentatives d exécution de scripts de piratage non autorisés sur leur ordinateur. 5 Juin : au début de tournois de tennis de Wimbledon en Angleterre, le site Web de l association des jours de tennis professionnels (ATP) a été infecté. 6 July : le site Web PlayStation américain de Sony a subi une attaque par injection SQL qui provoquait un risque d attaque de scareware pour les utilisateurs de ce site. 7 L une des raisons pour lesquelles Internet est autant utilisé par les pirates informatiques réside dans le fait que des sites innocents peuvent être attaqués et utilisés pour infecter un grand nombre de victimes. Toutefois, le visiteur non averti n en est pas la seule victime : le propriétaire du site en subit également les conséquences. Cela se vérifie notamment avec l une des principales méthodes de piratage du premier semestre : les attaques par injection SQL, qui exploitent les failles de sécurité et insèrent des programmes malveillants (dans ce cas précis, des balises de script) dans la base de donnée exécutant un site Web. L attaque est lancée lorsque les données fournies par l utilisateur, par exemple sur un formulaire Web, ne sont pas correctement filtrées ou vérifiées et sont subitement exécutées comme un code, bombardant alors la base de données d instructions malveillantes. La récupération s avère parfois délicate et il arrive souvent que la base de données, une fois nettoyée par son propriétaire, soit presque immédiatement réattaquée. La meilleure solution est donc la prévention. Des conseils permettant d éviter les attaques par injection SQL sont disponibles sur le blog de SophosLabs 8 et dans un communiqué de Microsofts publié fin juin. 9 Hormis l injection SQL, le premier semestre a également révélé d autres tendances en matière de malware sur Internet. Les pirates se servent de sites Web établis pour héberger leurs malwares (tels que Blogspot et Geocities, qui permettent à n importe qui de créer facilement son propre site Web), parce que les nouvelles pages sont faciles à configurer sans avoir à s identifier. De plus, certains logiciels de sécurité ont du mal à protéger les utilisateurs de ces sites contre les malwares par peur de bloquer des pages légitimes. En juin, Blogger (Blogspot.com) hébergeait 2 % des malwares en ligne du monde entier, ce qui en faisait le principal hôte des programmes malveillants à l échelle de la planète. Familles de malwares trouvées sur Internet Le diagramme ci-dessous représente les principaux malwares découverts sur des sites Web en mai et en juin. Mal/Iframe 34% Mal/ObfJS 25.6% Mal/Badsrc 23.5% Troj/Unif 7.0% Troj/Decdec 1.7% JS/Redir 1.4% Troj/Fujif 1.0% Troj/Iframe 0.6% JS/Encharc 0.4% Mal/Psyme 0.4% Other 4.4% Il est dominé par les malwares couramment associés aux attaques par injection SQL. Par exemple, une attaque Mal/Iframe peut être invisible à l œil nu, en utilisant un simple code HTML pour placer un élément de la taille d une tête d épingle dans un pixel 1x1, par le biais duquel le malware sera exécuté depuis un autre site Web. En association avec une attaque par injection SQL, ce système est une arme redoutable pour les pirates.

5 Contrôle des navigateurs Internet dans l entreprise Les pirates cherchent de plus en plus à attaquer des sites Web légitimes en insérant des programmes malveillants qui redirigent les navigateurs vers des sites hébergeant des malwares. De la même manière, les pirates adeptes du phishing tirent profit des failles et des faiblesses de la sécurité des navigateurs Internet pour berner les utilisateurs avec des répliques fidèles de sites Web, conçues pour recueillir des informations sensibles, qu ils utilisent ensuite à des fins d escroquerie. Un navigateur Internet bien géré, où les failles sont corrigées et les options sont correctement définies, permet de préserver l intégrité des réseaux d entreprise. De fait, 70 % des administrateurs système souhaitent avoir la possibilité de bloquer les navigateurs Internet non autorisés ou les versions obsolètes des navigateurs autorisés au sein de leur organisation. 42 % % 28 % 30 % 42% 28% 30% Considère comme impératif de bloquer les navigateurs non autorisés ou les versions obsolètes des navigateurs autorisés Veut bloquer les navigateurs non autorisés ou les versions obsolètes des navigateurs autorisés Considère que le contrôle des navigateurs n est pas important Enquête en ligne Sophos, 304 participants du 16 mai au 4 juin Les 30 % d administrateurs qui n accordent pas d importance au contrôle des navigateurs devraient peut-être reconsidérer leur opinion, dans la mesure où les navigateurs non autorisés génèrent de réels problèmes de sécurité et de productivité. En définissant une politique qui précise quel navigateur Internet et quelle version de ce navigateur peuvent être utilisés par les employés, les administrateurs pourront plus facilement sécuriser l accès à Internet, ce qui est particulièrement important si l on considère l augmentation du nombre de malwares en ligne. Infection des serveurs Web Le diagramme ci-dessous indique quels logiciels de serveurs sont le plus couramment utilisés sur les sites Web infectés. 59.1% % 23.8% 4.5% 7.8% 4.8% Apache 59.1% IIS 23.8% GFE 7.8% nginx 4.8% Other 4.5% Logiciels de serveur Web le plus couramment touchés par des infections en ligne (janvier à juin ) Presque 60 % des menaces sur le Web, de janvier à juin, ont touché des serveurs Apache. Ce chiffre est en nette augmentation par rapport au niveau relevé en 2007, les serveurs Web Apache représentant alors moins de 49 % des infections en ligne. Un grande nombre de serveurs Apaches sont hébergés sur Linux ou une version quelconque de UNIX, soulignant le fait que les malwares ne sont pas uniquement un problème lié à Microsoft. S il est vrai que le nombre de malwares visant Linux et UNIX reste relativement limité, les sites Web ne sont pas pour autant invulnérables. La raison en est simple : les nouvelles attaques visent le site et non plus simplement le serveur, et tentent parfois d y placer des scripts ou une redirection vers un programme malveillant. En plus des risques dus aux cybercriminels, la «guerre des navigateurs» a créé un monde de concurrence, rapide et varié. Des versions bêta et des mises à jour des navigateurs les plus populaires sont mises en circulation presque tous les jours. Certaines d entre elles contiennent des fonctionnalités de supports multimédia en continu et de partage de fichiers, ce qui complique encore la tâche des administrateurs chargés de sécuriser les terminaux de leur organisation.

6 Pays hébergeant le plus de malwares Le diagramme indiquant quels pays hébergent le plus de pages Web porteuses de malwares révèle quelques changements intéressants : Les USA sont en tête de liste, avec presque 2 pages Web pour 5 infectées. La Chine était en tête de liste en 2007, hébergeant alors 53,9 % des pages infectées sur Internet, mais elle est revenue à son niveau de 2005 et n en possède plus qu un tiers. La République Tchèque est une nouvelle arrivée sur la liste et héberge presque 1 % de tous les malwares Internet du monde. La France, le Canada, Taiwan et la Corée du Sud se classaient respectivement en sixième, septième, neuvième et dixième position en 2007, mais possèdent désormais trop peu de sites malveillants pour figurer sur le diagramme. United States 38.0% China 31.3% Russia 10.8% Germany 2.4% Ukraine 1.9% Turkey 1.8% United Kingdom 1.3% Thailand 1.1% Netherlands 1.0% Czech Republic 0.9% Other 9.5% Pays hébergeant le plus de malwares

7 Messagerie Pièces jointes malveillantes dans les courriers électroniques Lors du premier semestre, seul 1 message électronique sur 2500 examinés contenait une pièce jointe malveillante, alors que le rapport était de 1 pour 332 au premier semestre Le diagramme représente les principales familles de malwares diffusées par le biais de pièces jointes entre janvier et juin. Troj/Pushdo 31,0 % W32/Netsky 20,1 % W32/Mytob 6,7 % W32/Traxg 6,0 % Troj/Agent 5,9 % W32/MyDoom 3,0 % Troj/Mdrop 1,8 % W32/Zafi 1,6 % W32/Bagle 1,4 % W32/Nyxem 1,3 % Autre 21,2 % 10 principales familles de virus se répandant par courrier électronique sous forme de pièces jointes Le passage en tête rapide de Pushdo dans ce diagramme (il représente près d un tiers de tous les rapports durant le premier semestre ) est significatif, dans la mesure où il ne jouait pas un rôle notable dans les statistiques de Toutefois, même s il figure en tête du diagramme, il ne s est pas répandu aussi rapidement que les vers du type Netsky, Bagle et Sobig, qui sont apparus en 2003 et Les campagnes Pushdo utilisent des techniques sophistiquées pour tenter d éviter la détection, notamment en dissimulant le code à l aide de différents types de packers. Bien que Pushdo infecte généralement les utilisateurs par courrier électronique, il s est parfois également servi du Web. 10 Le deuxième malware le plus envoyé en pièce jointe est Netsky, qui avait été créé par un adolescent allemand appelé Sven Jaschan et qui se répand depuis 2004, prouvant ainsi qu un nombre inquiétant d utilisateurs n a pas mis à jour son antivirus depuis plus de 4 ans. Messages électroniques contenant des liens vers des pages Web malveillantes Le fait que le nombre de messages infectés ait très fortement diminué ne signifie pas que la messagerie électronique en elle-même soit moins dangereuse. C est la manière dont elle est utilisée pour infecter l ordinateur des utilisateurs qui a radicalement changé. Plutôt que d intégrer des malwares sous forme de pièces jointes dans le courrier électronique, les cybercriminels envoient des messages non sollicités, ou spam, qui contiennent des liens vers des sites Web pirates. Malheureusement, on a encore souvent tendance à croire que le spam n est pas dangereux. Mais dans la mesure où la plupart de ces messages ne sont pas désirés et où nombre d entre eux renvoient à des sites Web infectés, il est essentiel que les organisations sécurisent leurs portails de messagerie électronique et d accès au Web aussi minutieusement que leurs ordinateurs de bureau et portables. Malware ciblé 5 minutes de malwares - campagne Pushdo diffusée rapidement Le cheval de Troie Pushdo est diffusé en utilisant un titre changeant rapidement et en prétendant avoir en pièce jointe, par exemple, des photos dénudées d Angelina Jolie ou de Nicole Kidman. En général, le cheval de Troie installe également un malware (appelé Pushu), qui télécharge ensuite d autres malwares, tels qu un rootkit, depuis Internet. Durant le premier semestre, les malwares ont été très ciblés, leur but étant d infecter des personnes et des entreprises spécifiques, plutôt que la communauté Internet dans son ensemble. Tout comme le spear-phishing (décrit ci-dessous), les malwares ciblés fonctionnent à petite échelle, en donnant généralement l impression qu ils ont été envoyés par un membre de votre propre entreprise (c est-à-dire quelqu un à qui vous êtes plus susceptible de faire confiance) et ils sont conçus pour que le destinataire clique sur une pièce jointe infectée. En avril, une série de courriers électroniques a spécifiquement ciblé les principaux dirigeants de différentes entreprises. Les messages évoquaient tous une citation à comparaître et prétendaient provenir de tribunaux fédéraux américains, dans le but d effrayer les destinataires et de les inciter à ouvrir une pièce jointe dangereuse. 11

8 Malware non-windows Malware Apple Macintosh Les problèmes liés aux malwares sont pour l instant minimes chez les utilisateurs de Macintosh, par rapport aux utilisateurs de Windows. Toutefois, depuis l apparition du premier malware pour Max OS X fin 2007, à des fins d escroquerie 12, d autres tentatives de piratage ont visé les ordinateurs Macintosh. En février, Sophos a découvert un nouveau cheval de Troie exploitant Flash, le Troj/Gida-B, conçu pour effrayer les utilisateurs et les inciter à acheter un faux logiciel de sécurité, par le biais de publicités Internet infectées provoquant une attaque de scareware qui fonctionnait aussi bien sur les ordinateurs Macintosh que Windows. 13 Le OSX/Hovdy-A Trojan, découvert en juin, est capable d infecter les ordinateurs Mac OS X et tente de voler des mots de passe, de désactiver les paramètres de sécurité et d ouvrir les pare-feux pour permettre aux pirates d accéder à l ordinateur. Il profite de la vulnérabilité de ARDAgent dans Mac OS X, récemment signalée, pour obtenir un accès à la racine. Une fois qu il a pénétré dans un ordinateur, le pirate peut prendre le contrôle total du Macintosh infecté, en désactivant la connexion au système pour couvrir ses traces. 14 Les utilisateurs de Macintosh devraient être prudents pour plusieurs raisons : Dans la mesure où la plupart des utilisateurs d Apple ont le sentiment d être à l abri des menaces à la sécurité sur Internet, ils risquent d être une cible facile pour de futures attaques de pirates. L utilisation de puces Intel dans les ordinateurs Apple a rendu plus similaire l utilisation de Windows et de Macintosh, ce qui augmente le risque que les ordinateurs Macintosh hébergent et répandent les malwares Windows. Au premier semestre, les ventes d ordinateurs portables Apple ont fortement augmenté, du fait que certains utilisateurs, découragés par Windows Vista, se sont tournés vers les Macbooks. 15 Sophos considère que, au fur et à mesure de l augmentation des parts de marché de Macintosh, les utilisateurs seront plus susceptibles de subir des attaques de pirates sur leur ordinateur personnel. Toutefois, dans la mesure où de nombreux utilisateurs privés de Windows semblent incapables de se protéger correctement contre l avalanche de malwares et de spywares créés pour leur plate-forme, il semble approprié de suggérer que certains d entre eux adoptent la plate-forme Macintosh d Apple. Cette suggestion ne sous-entend pas que Mac OS X est supérieur, mais simplement que le nombre de malwares actuellement créés pour cette plate-forme est nettement inférieur. Les cybercriminels cherchant à maximiser leur profit sont donc plus susceptibles d attaquer principalement les ordinateurs Windows dans un avenir prévisible. Toutefois, il est probable que des malwares destinés aux Macintosh continueront à apparaître et les utilisateurs devraient poursuivre leurs efforts en matière de sécurité informatique, notamment en exécutant un antivirus et en se procurant régulièrement les correctifs de sécurité. iphone Il ne fait aucun doute que la version 3G de l iphone sera nettement plus attrayante que son prédécesseur pour les entreprises et les utilisateurs d Internet, en raison de sa meilleure connectivité Internet et de son prix plus intéressant. Cette augmentation des parts de marché, toutefois, risque d inciter les criminels à élaborer des tentatives plus concertées pour profiter de ces appareils à l avenir. Même si des malwares simples ont été identifiés 16, l iphone d Apple n a pas encore eu à subir d attaques de pirates à des fins d escroquerie. Cependant, des failles de sécurité ont été détectées dans l application de messagerie électronique mobile et le navigateur Safari d Apple, et l entreprise a été critiquée 17 pour n avoir pas corrigé ces failles dans l iphone en même temps que dans ses autres versions de Mac OS X pour ordinateur. Une chose que les utilisateurs de l iphone doivent savoir, c est qu ils sont peut-être plus vulnérables aux attaques de phishing que ceux utilisant un ordinateur de bureau : Dans la mesure où ils doivent saisir les URL à l aide d un écran tactile, les utilisateurs de l iphone risquent d être plus enclins que s ils utilisaient un vrai clavier à cliquer sur des liens qu ils pensent associés à leur banque en ligne, à ebay, etc. dans les messages électroniques non sollicités. Dans la version iphone du navigateur Safari, une URL intégrée dans un message électronique ne s affiche que lorsque l on a cliqué dessus. Les utilisateurs risquent donc plus de se faire piéger, dans la mesure où ils ne peuvent pas savoir si le lien qu ils sélectionnent les dirige, par exemple, vers un site Web bancaire contrefait. De plus, comme le navigateur de l iphone n affiche qu une partie de l URL dans la barre d adresse, il a été souligné qu il est plus facile pour les cybercriminels de tromper les utilisateurs en leur faisant croire qu ils sont sur un site Web légitime. 18

9 Malwares Linux Apple n est pas la seule plate-forme non Microsoft qui soit sous la menace de malwares. En février, Sophos a signalé qu un virus Linux en circulation depuis 6 ans, RST-B, était en train d infecter un grand nombre d ordinateurs et de serveurs. Après avoir diffusé un outil de détection gratuit et effectué des recherches complémentaires, les SophosLabs ont découvert que plusieurs milliers d ordinateurs Linux étaient infectés à la racine par Linux/RST-B, permettant ainsi aux pirates d utiliser ces ordinateurs pour contrôler des botnets (réseaux d ordinateurs infectés). Or, seules les infections à la racine ont été examinées. Ces chiffres seraient donc encore plus élevés si l on avait pris en compte les ordinateurs infectés hors-racine. L étude des statistiques révèle que la plupart des infections se trouvaient aux Etats-Unis*, comme illustré sur le diagramme ci-dessous. Il est intéressant de noter que le Japon, qui est un grand marché pour Linux, ne se classe qu à la 11ème position, avec seulement 2,3 % d infections. Les utilisateurs de Linux sont invités à utiliser l outil gratuit de Sophos pour vérifier s ils ne sont pas également infectés par RST-B. 19 USA 22,0 % Chine 10,0 % Allemagne 6,5 % Brésil 6,1 % Corée 4,1 % Taiwan 3,9 % France 3,3 % Italie 3,1 % Inde 3,1 % Pologne 2,9 % Autre 35,0 % Infections par Linux/RST-B * Sophos tient à remercier Accretive Networks pour son aide dans la production de ces statistiques

10 Spam Spam par courrier électronique Le spam par courrier électronique continue à harceler les internautes. En juin, le niveau du spam représentait 96,5 % de tous les messages électroniques professionnels, contre 92,3 % au premier trimestre. Les entreprises sont désormais confrontées au fait que seul un message sur 28 est légitime. 20 Au premier semestre, les experts de Sophos ont découvert chaque jour, en moyenne, 8330 nouvelles pages Web liées au spam, soit une toutes les 20 secondes. Le pic a été atteint en Janvier, lors de l irruption en force du ver Storm. À son apogée, jusqu à 1 message électronique sur 6 renvoyait les ordinateurs vers une page Web infectée! 21 Il a ainsi contribué au niveau record d une nouvelle page Web liée au spam toutes les 3 secondes. Par chance, les mois suivants n ont pas connu d attaques de spam et de malwares aussi massives. Chine De plus en plus de spammeurs tendent à héberger leurs contenus et leurs sites Web sur des serveurs chinois. Ce phénomène engendre des problèmes pour certaines entreprises de sécurité, parce qu il est plus difficile d avoir de la visibilité sur les noms de domaines chinois que sur ceux d autres pays. De plus, les barrières linguistiques et culturelles se liguent pour rendre encore plus difficile la fermeture rapide des sites Web indésirables. Du point de vue des criminels, les noms de domaines chinois sont attrayants parce qu ils n ont pas besoin de changer leur domaine aussi souvent et qu ils peuvent opérer pendant plus longtemps. Campagnes de phishing Sophos continue à détecter des campagnes généralisées de phishing par envoi de messages électroniques à destination des personnes utilisant les institutions financières en ligne et les principaux sites Web de paiement et d enchères. Ces derniers mois, les sites Web de réseau social, tels que Facebook, ont également retenu l attention des adeptes du phishing. 22 Spear-phishing Des attaques ciblées, plus sophistiquées, ont également eu lieu contre des organisations et des personnes précises. Cette technique, connue sous le nom de «spear-phishing» se sert de messages électroniques qui ont été personnalisés en fonction d un domaine ou d une organisation spécifique. Ces messages semblent provenir d une source de confiance, telle qu un membre du service informatique de l entreprise où travaille le destinataire, et demande à ce dernier de fournir noms d utilisateurs, mots de passe et autres informations personnelles, en le redirigeant parfois vers une version factice du site Web ou de l intranet de l entreprise. Les personnes qui répondent à ces messages transmettent par inadvertance des informations que les pirates peuvent utiliser à des fins malveillantes, telles que le vol d identité. L Université de Waterloo 23, le Oak Ridge National Laboratory 24 et l Université du Minnesota 25 font partie des nombreuses organisations qui ont subi ce genre d attaques. Les adeptes du phishing réussissent facilement à générer l adresse des victimes, par exemple en utilisant un logiciel de spam qui associe, par exemple des prénoms et des noms. Ils peuvent également se servir d une liste d employés en trouvant un répertoire sur un réseau tel que Facebook ou LinkedIn. Et parce que les messages de phishing ne sont envoyés qu à un seul nom de domaine, ils sont moins susceptibles d être détectés par le système de sécurité informatique. Il est important de se rappeler que les campagnes de phishing ne sont pas spécifiques à un seul système d exploitation et qu elles peuvent toucher tous les internautes, qu ils utilisent Microsoft Windows, Mac OS X ou une version d UNIX. Comme elles exploitent la confiance et la nature humaine plutôt que les logiciels, il est probable qu elles continueront à poser problème dans un avenir prévisible. Botnets Pratiquement tous les messages de spam sont envoyés à partir d ordinateurs infectés (appelés «bots» ou «zombies»), qui sont utilisés par des pirates à l insu de leur propriétaire innocent pour distribuer du spam en grande quantité, lancer des attaques par déni de service ou voler des informations confidentielles. En général, ces ordinateurs appartiennent à des utilisateurs privés qui ne sont pas correctement protégés par un logiciel antivirus à jour, des pare-feux et des correctifs de sécurité. Il est important de développer les initiatives permettant aux internautes de prendre conscience du fait qu ils doivent protéger leur ordinateur. Un site de phishing Facebook

11 Les douze principaux coupables La liste des douze principaux pays ayant relayé le spam entre avril et juin est illustrée ci-dessous et reflète notamment l impact croissant et inquiétant des botnets dans les pays en pleine croissance, ceux-ci commençant en effet à y faire leur apparition. Etats-Unis 14,9 % Turquie 6,8 % Chine (y compris Hong-Kong) 5,6 % Pologne 3,6 % Corée du Sud 3,5 % Royaume-Uni 3,2 % Espagne 3,2 % Allemagne 3,0 % Argentine 2,9 % 12 principaux pays relayant le spam (avril à juin ) Les USA ont réduit leur contribution au fléau du spam, relayant moins de 15 % de l ensemble du spam, contre 20 % sur la même période en La Chine a également perdu sa deuxième place au classement, ayant été dépassée par la Russie et la Turquie. L Argentine, qui connaît la plus forte croissance économique de l Amérique du Sud, fait son entrée sur ce diagramme ce trimestre en étant désormais responsable de la transmission de 2,9 % des messages de spam du monde, reléguant ainsi la France à la douzième place du classement. La Turquie est passée de la neuvième place (2,9 %) au deuxième trimestre 2007, à la troisième place (6,8 %) pour l instant. La répartition par continent des pays-relais du spam montre que l Asie transmet plus d un tiers de tous les messages de spam. % Russie 7,5 % Brésil 4,5 % Italie 3,6 % Autre 37,7 % Asie 35,4 % Europe 29,5 % Amérique du Nord 18,2 % Amérique du Sud 14,8 % Afrique 1,2 % Autre 0,9 % Continents relayant le spam (avril à juin ) Spam par rétrodiffusion Au premier semestre, on note une croissance du nombre d avis de non-distribution générés par les systèmes de messagerie qui acceptent les messages de spam lors d une session SMTP. En cas d erreur de remise (par exemple, «boîte de réception pleine» ou «utilisateur introuvable»), le système tente d envoyer un message à l expéditeur initial présumé. Ce message est envoyé à l adresse électronique mentionnée dans les informations concernant l expéditeur (en-tête «À») du message d origine. Comme cette adresse est fausse pour la plupart des messages de spam, le message de nondistribution est envoyé à la boîte de réception d un expéditeur qui n a pas envoyé le message de spam d origine. Ce processus est appelé «spam par rétrodiffusion». Des adresses ou des noms de domaines spécifiques, qui sont les préférés des spammeurs, peuvent être quotidiennement la cible de centaines, voire de milliers de messages de spam par rétrodiffusion. Spam sur téléphone mobile Une autre méthode de plus en plus employée par les spammeurs est l envoi de SMS sur des téléphones mobiles. Selon la Internet Society of China, 353,8 milliards de messages de spam ont été envoyés l année dernière aux propriétaires de téléphones mobiles en Chine. Par conséquent, cela signifie que les 574 millions d utilisateurs de téléphones mobiles du pays reçoivent en moyenne plus de 600 messages de spam par an. Sur les plaintes concernant le spam reçues en juin, 39,17 % concernaient des textes frauduleux et 36,28 % étaient des publicités commerciales. 26 Le problème ne se limite toutefois pas à la Chine. Par exemple, en avril, le standard du Zoo de Dublin a été submergé d appels lorsqu au moins 5000 personnes ont reçu un SMS sur leur téléphone mobile, les invitant à composer rapidement un numéro et à demander une personne fictive. 27 Ce numéro était en fait celui de la principale ligne téléphonique du Zoo de Dublin les faux noms se rapportaient tous à des animaux (Rory Lion, Anna Conda, C Lion ou G Raffe, selon les informations). Les zoos de Houston 28 et de Brownsville, au Texas 29, ont subi des attaques similaires le mois suivant. L envoi de spam via SMS à un grand nombre de personnes est une manière efficace de générer une attaque par déni de service extrêmement rapide contre le réseau téléphonique d une organisation. Comme les opérateurs de téléphonie mobile offrent de plus en plus de SMS gratuits chaque mois dans le cadre de leurs forfaits et qu ils proposent des passerelles SMS pouvant être exploitées par les pirates, il est possible que nous constations une augmentation de l utilisation des SMS pour encombrer les lignes téléphoniques.

12 Web 2.0 Spam et malwares sur les réseaux sociaux et professionnels Les sites de réseau social, tels que Facebook, MySpace, Bebo et autre Web 2.0, ont vu leur popularité exploser au cours des dernières années, ce qui n a pas échappé aux cybercriminels. Les internautes, habitués à une invasion de messages non sollicités dans leur boîte de réception, ont l air d être moins prudents lorsque ceux-ci leur parviennent d une autre manière, par exemple via leur messagerie instantanée ou Facebook. 30 Le site de réseau professionnel LinkedIn a également fait l objet d attaques, les adeptes du phishing et du spam s en servant pour cibler des personnes dont la carrière est florissante. En mai, un «419 scam» a été diffusé via le site LinkedIn, prétendant être envoyé par une femme de 22 ans vivant en Côte d Ivoire et ayant reçu 6,5 millions de dollars en héritage de son père décédé. 31 Escroquerie via LinkedIn Les créateurs de malwares regardent également avec des yeux gourmands le grand nombre de victimes potentielles disponible sur les sites de réseau social : Spam via Facebook En mai, vkontakte, le site de réseau social le plus populaire en Russie et qui compte 12 millions de membres, a été attaqué par un ver qui se répandait via le système, effaçant les fichiers des disques durs. 32 En décembre 2007, le site de réseau Orkut de Google a été touché par un malware utilisant une attaque par cross-site scripting (XSS) pour infecter des centaines de milliers de profils de membres. 33 Alors que de plus en plus d entreprises installent une protection sur leur passerelle de messagerie électronique et que les utilisateurs privés sont protégés par leur fournisseur d accès Internet ou de compte de messagerie, les criminels devront faire preuve d imagination pour réussir à transmettre leurs messages et leurs malwares. C est pourquoi, même si le niveau de spam sur Facebook, Bebo et LinkedIn est encore minime par rapport au spam sur messagerie, il est probable que les sites Web 2.0 vont être de plus en plus utilisés à cet effet. 10

13 Criminalité Arrestations et condamnations Grâce à la collaboration des autorités internationales de contrôle des systèmes informatiques dans la lutte contre les pirates, les auteurs de malwares et les spammeurs, les 6 derniers mois ont connu un nombre sans précédent d arrestations et de condamnations lourdes de criminels impliqués dans de graves affaires. Voici quelques-unes des affaires les plus médiatisées durant le premier semestre. Janvier : trois hommes qui avaient élaboré une escroquerie par courrier électronique sophistiquée, ont admis dans un tribunal de New York avoir volé plus de 1,2 million de dollars. Ils envoyaient des messages prétendant provenir d une personne atteinte d un cancer de la gorge en phase terminale et qui souhaitait distribuer 55 millions de dollars à des oeuvres de charité. L un des membres du groupe, Nnamdi Chizuba Ainsiobi, est également soupçonné d avoir téléphoné aux destinataires en déguisant sa voix pour prétendre qu il souffrait de cette maladie. 34 Février : un adolescent américain a avoué avoir pris le contrôle de centaines de milliers d ordinateurs zombis, y compris certains situés dans la Division Armes de l US Naval Air Warfare Center à China Lake, en Californie et dans le Département de la Défense américain, et de s en être servi pour afficher des publicités lucratives. 35 Mars : Lee Shin-ja, ancien PDG de la société de sécurité coréenne Media Port, a été accusé d avoir distribué de faux logiciels anti-spyware à plus d un million de personnes, ce qui lui a rapporté plus de 9,2 milliards de won (environ 9,8 millions de dollars américains) depuis Il utilisait pour cela un programme anti-spyware gratuit qui affichait de faux avertissements de sécurité et invitait les utilisateurs à acheter la solution de nettoyage Doctor Virus de Media Port. 36 Mars : un tribunal chinois a condamné à des peines allant de 6,5 à 8 ans de prison quatre hommes qui avaient utilisé un cheval de Troie pour voler des informations concernant des comptes bancaires sur Internet. 37 Avril : un tribunal israélien a condamné trois membres du cabinet d enquêtes privées Modi in Ezrahi à une peine de prison après qu ils ont été reconnus coupables d avoir utilisé un cheval de Troie pour voler des informations commerciales. 39 Mai : Thomasz Grygoruk, 22 ans, a été condamné à trois ans de prison après avoir été reconnu coupable d avoir volé des informations personnelles à des milliers de personnes pendant 5 ans via Internet, en utilisant une combinaison de chevaux de Troie et des sites bancaires en ligne factices. 40 Mai : Mark Richman et Nathaniel Seidman, les propriétaires d une entreprise basée à Boca Raton en Floride, ont été condamnés à une amende de $ conformément à la loi CAN-SPAM pour avoir envoyé des messages électroniques non sollicités, comportant de fasses en-têtes et un objet grivois dans le but de promouvoir des sites Web tels que sexyfriendsearch.com. 41 Mai : les autorités américaines et roumaines ont inculpé 38 personnes soupçonnées de diriger un groupe criminel international dont le but était de voler des milliers de clients en ciblant des centaines d institutions financières par le biais de courriers électroniques et de SMS de phishing. 42 Juin : Jason Michael Milmont, 19 ans, a avoué être l auteur du malware Nugache qui infectait les ordinateurs Windows, les transformant en un botnet sophistiqué, contrôlé par P2P et impliquant entre 5000 et ordinateurs à la fois. J. Milmont utilisait des informations bancaires volées pour prendre le contrôle du compte bancaire des victimes et commander des produits qui étaient envoyés à de fausses adresses dans les environs de la ville de Cheyenne, aux Etats- Unis. 43 Avril : Edward Davidson a été condamné à 21 mois de prison et $ d amende en faveur des services fiscaux américains pour fraude fiscale et falsification d en-tête de message électronique dans des centaines de milliers de messages de spam. En commercialisant des parfums et des montres de luxe et en manipulant le marché boursier par des opérations de «pump and dump», Davidson est soupçonné d avoir gagné au moins 3,5 millions de dollars

14 Cybercriminalité d État Les pays s espionnent les uns les autres dans le monde entier, à des fins politiques, commerciales et militaires, et il serait naïf de croire qu ils ne cherchent pas à profiter des ordinateurs et d Internet pour les aider dans cette activité. En 2007, de nombreux pays ont ouvertement commencé à s accuser mutuellement d espionnage via Internet, par exemple lorsque l armée chinoise a été considérée comme responsable d une cyberattaque sur un système informatique du Pentagone en septembre Les inquiétudes sur la cybercriminalité d état ont connu leur apogée fin 2007, lorsque l on a découvert que le MI5 (les Services Secrets britanniques) avait écrit à 300 hauts-dirigeants et responsables de la sécurité d entreprises du Royaume-Uni pour les avertir de «l attaque par espionnage électronique». 44 Au premier semestre, d autres rapports ont fait état de cybercriminalité d état, et même s il est particulièrement difficile de prouver qu une attaque n est pas le fait d un groupe de pirates indépendants mais qu elle a été approuvée par un état, il est probable que d autres plaintes de pays s attaquant et s espionnant mutuellement via Internet verront le jour en. En fait, il n y a tout simplement pas assez de preuves pour affirmer que ces attaques, ou d autres, émanaient d un état, plutôt que du bureau d un fonctionnaire ou de la chambre d un adolescent. Les gouvernements devraient donc réfléchir attentivement avant d en accuser un autre d espionnage via Internet, sauf s ils ont de solides preuves. Toutefois, ces rapports soulignent qu il est important pour tous de considérer la sécurité informatique comme une priorité. Ceci est particulièrement vrai pour les ordinateurs dans les administrations et les ministères, qui doivent à tout prix être protégés contre les pirates, que ceux-ci agissent à des fins politiques, financière ou d espionnage. Il est donc conseillé aussi bien aux entreprises et aux organisations qu aux gouvernements de garder à jour leurs protections contre les malwares et de s assurer qu un système de sécurité approprié est en place pour éviter que des intrus (qu il s agisse de cybercriminels ou d espions d un gouvernement étranger) ne volent des informations. Avril : l hebdomadaire allemand Der Spiegel a révélé que le BND (services de renseignements allemands) utilisait des spywares pour surveiller le Ministère du Commerce et de l Industrie en Afghanistan. Des documents confidentiels, des mots de passe et des communications par courrier électronique auraient ainsi été piratés par des espions allemands et envoyés au siège du BND. Cette information faisait suite à des révélations concernant l interception par le BND de messages électroniques entre la journaliste du Spiegel Susanne Koelbl et le Ministre du Commerce afghan Amin Farhang et a provoqué un incident diplomatique entre les 2 pays. 45 Mai : de hauts responsables du gouvernement indien à New Delhi auraient confirmé que des pirates chinois avaient ciblé le Ministère des Affaires Étrangères et le Centre National de l Informatique, qui fournit le réseau d infrastructure pour le gouvernement central et d état, ainsi que d autres organismes administratifs en Inde. Ces responsables auraient dit anonymement que c était un moyen pour la Chine de prendre «un avantage asymétrique» sur un adversaire potentiel. 46 Mai : la Belgique a également accusé le gouvernement chinois de cyber-espionnage en affirmant que des attaques de pirates contre le gouvernement fédéral belge émanaient de Chine et qu elles avaient probablement été lancées à la demande de ce gouvernement. Par ailleurs, le Ministre belge des Affaires Étrangères a dit au parlement que son ministère avait fait l objet de cyber-espionnage de la part d agents chinois plusieurs semaines auparavant

15 Visibilité internationale stratégique par les SophosLabs En combinant un savoir-faire exceptionnel en matière de menaces en tout genre, des systèmes automatisés et une technologie de pointe, les SophosLabs disposent de la visibilité internationale et des capacités de recherche permanente requises pour fournir aux entreprises la protection proactive et la rapidité de réaction dont elles ont besoin pour assurer leur sécurité, maintenir leur productivité et respecter les réglementations. Toutes les solutions de sécurité et de contrôle du Web, de la messagerie et des terminaux de Sophos s appuient sur leur savoir-faire. Les services d alerte des SophosLabs, ZombieAlert et PhishAlert, informent les entreprises lorsqu un de leurs ordinateurs a été infecté et transformé en zombie, ou lorsque leur marque est utilisée dans le cadre de campagnes de phishing. Les nombreuses sources de données de SophosLabs incluent : Les pièges à spam ( spam traps ) dans plus de 50 pays, permettant de détecter en temps réel les nouvelles campagnes de spam Le trafic de messagerie mondial, grâce aux milliers de déploiements client Des partenaires qui signalent et partagent leurs informations sur les menaces Ses partenariats de partage de données avec les moteurs de recherche Des millions de sources d information quotidiennes concernant les URL malveillantes Pour en savoir plus sur les produits Sophos et les évaluer, visitez 13

16 Sources (en anglais) blog.washingtonpost.com/securityfix//07/apple_iphone_four_months_behin_1,html 18. iphish : Phishing Vulnerabilities on Consumer Electronics, par Yuan Niu, Francis Hsu, Hao Chen, Université de Californie, www1,umn.edu/oit/security/oit_article_003725,html 26. news.xinhuanet.com/english/-07/17/content_ ,htm Boston (USA) Oxford (Angleterre) 14