Rapport sur les données de sécurité Microsoft

Transcription

1 Rapprt sur les dnnées de sécurité Micrsft Vlume 11 Une vue en prfndeur des infectins et vulnérabilités lgicielles, des menaces de cde malveillant et des lgiciels ptentiellement indésirables pur le premier semestre de l'année 2011 RÉSULTATS CLÉS

2 Rapprt sur les dnnées de sécurité Micrsft Ce dcument ne peut être utilisé qu'à des fins d'infrmatin. MICROSOFT NE SE PORTE GARANT, DE MANIÈRE EXPRESSE, IMPLICITE OU LÉGALE, D'AUCUNE DES INFORMATIONS REPRISES DANS CE DOCUMENT. Ce dcument est présenté «en l'état». Les infrmatins et pinins reprises dans ce dcument, en ce cmpris les URL et autres références à des sites Web, snt susceptibles d'être mdifiées sans préavis. Vus assumez l'entière respnsabilité de l'utilisatin de ces infrmatins. Cpyright 2011 Micrsft Crpratin. Tus drits réservés. Les nms d'entreprises et de prduits existants mentinnés ci-après peuvent être les marques cmmerciales de leurs prpriétaires respectifs. 1

3 Smmaire Rapprt sur les dnnées de sécurité Micrsft, Vlume Fcalisatin sur les méthdes de prpagatin des lgiciels malveillants... 4 Dnnées sur les menaces dans le mnde... 8 Divulgatins de vulnérabilités... 8 Attaques... 9 Attaques au niveau de dcuments Lgiciels malveillants et lgiciels ptentiellement indésirables Taux d'infectin au niveau des systèmes d'explitatin Familles et catégries de menaces Menaces au niveau des entreprises Menaces au niveau du currier électrnique Sites Web malveillants

4 Rapprt sur les dnnées de sécurité Micrsft, Vlume 11 Le vlume 11 du Rapprt sur les dnnées de sécurité de Micrsft (Micrsft Security Intelligence Reprt u SIRv11) prpse des vues apprfndies relatives aux vulnérabilités et infectins lgicielles, aux menaces de cde malveillant et aux lgiciels ptentiellement indésirables cncernant des lgiciels Micrsft u d'autres lgiciels tiers. Micrsft a élabré ces vues sur base d'analyses de tendances détaillées réalisées au curs des dernières années, en se cncentrant sur le premier semestre de Ce dcument récapitule les résultats clés de ce rapprt. Le rapprt cmplet inclut également une analyse en prfndeur des tendances enregistrées dans plus de 100 pays/régins du mnde et prpse des méthdes vus permettant de gérer les risques liés à vtre rganisatin, à vs lgiciels, ainsi qu'à vtre persnnel. Le rapprt cmplet, ainsi que les vlumes précédents et les vidés assciées peuvent être téléchargés depuis 3

5 Fcalisatin sur les méthdes de prpagatin des lgiciels malveillants Micrsft a entrepris une analyse afin de mieux cmprendre la fréquence des attaques «0 day», ainsi que les risques assciés auxquels les utilisateurs snt cnfrntés. Cette analyse a été cnduite pur furnir aux prfessinnels de la sécurité des infrmatins qu'ils peuvent utiliser pur hiérarchiser leurs prblèmes et gérer efficacement leurs risques. Cmme tut un chacun, les respnsables des départements infrmatiques snt cnfrntés à des cntraintes de temps, de budget, de persnnel et de ressurces lrsqu'ils planifient et exécutent leurs tâches. Des infrmatins précises et à jur sur l'étendue des menaces permettent aux prfessinnels de la sécurité d'rganiser efficacement leurs systèmes de défense et de préserver la sécurité de leurs réseaux, lgiciels et persnnel. Pur les besins de l'analyse, les menaces détectées par l'util de suppressin des lgiciels malveillants au curs du premier semestre de 2011 nt été classées seln les myens de prpagatin que chaque famille de menaces utilise pur infecter ses victimes. Pur les menaces signalées cmme utilisant plusieurs méthdes pur infecter des utilisateurs, le nmbre d'infectins signalées par l'util pur cette famille a été divisé et réparti équitablement entre les différentes méthdes. La Figure 1 reprend les résultats de cette analyse. 4

6 Figure 1. Lgiciels malveillants détectés par l'util de suppressin des lgiciels malveillants au curs du premier semestre de 2011, seln les méthdes de prpagatin signalées Les différentes méthdes de prpagatin des menaces emplyées par les lgiciels malveillants reprises dans la Figure 1 snt décrites cmme suit : Interventin de l'utilisateur requise (User Interactin Required). Lrsqu'un utilisateur dit effectuer une actin pur que l'rdinateur sit cmprmis. Dans ce cntexte, «actin» crrespnd à une actin intentinnelle à distinguer par certains pints de l'utilisatin rdinaire de l'rdinateur. Exécutin autmatique : USB (AutRun : USB). La menace prfite de la fnctin Exécutin autmatique de Windws pur infecter les périphériques de stckage USB, ainsi que d'autres vlumes amvibles. Exécutin autmatique : Réseau (AutRun : Netwrk). La menace prfite de la fnctin Exécutin autmatique de Windws pur infecter des vlumes réseau mappés sur des lettres de lecteur. Infecteur de fichiers (File Infectr). La menace se répand en mdifiant des fichiers, suvent assrtis d'une extensin.exe u.src, en recpiant u en écrasant certains segments de cde. 5

7 Attaque : Mise à jur dispnible depuis lngtemps (Explit: Update Lng Available). Le furnisseur a publié une mise à jur de sécurité pur traiter la vulnérabilité plus d'un an avant l'attaque. Attaque : Mise à jur dispnible (Explit: Update Available). Le furnisseur a publié une mise à jur de sécurité pur traiter la vulnérabilité mins d'un an avant l'attaque. Attaque de mt de passe par frce brute (Passwrd Brute Frce). La menace se répand en lançant des attaques de mt de passe par frce brute sur les vlumes dispnibles de manière similaire à la cmmande net use. Macrs Office (Office Macrs). La menace se répand en infectant les dcuments Micrsft Office par le biais de macrs malveillantes Visual Basic pur Applicatins (VBA). Attaque «0 day» (Explit: Zer-day). Le furnisseur n'a pas publié de mise à jur de sécurité pur traiter la vulnérabilité au mment de l'attaque. Plus d'un tiers des détectins de lgiciels malveillants analysées nt été assciées à des lgiciels malveillants se servant de la fnctin Exécutin autmatique de Windws. Les menaces en questin nt été scindées en deux catégries : celles qui se répandent via des vlumes amvibles (26 % du nmbre ttal) et celles qui se prpagent par le biais de vlumes réseau (17 %). Pur lutter cntre ces menaces, Micrsft a pris plusieurs mesures pur prtéger les utilisateurs, en publiant ntamment une mise à jur autmatique pur les platefrmes Windws XP et Windws Vista en février Cette initiative permet de garantir un niveau de sécurité supérieur pur la fnctin Exécutin autmatique (autrun), similaire au niveau par défaut de Windws 7. Envirn 6 % des détectins par l'util de suppressin des lgiciels malveillants analysées nt été assciées à des attaques. Il s'agit, en d'autres termes, de cde malveillant tentant d'expliter des vulnérabilités d'applicatins u de systèmes d'explitatin. 6

8 Aucune des catégries les plus fréquentes détectées par l'util de suppressin des lgiciels malveillants n'a été signalée cmme prcédant à des attaques «0 day» au curs du premier semestre de Sur l'ensemble des explitatins de vulnérabilités détectées par l'util, mins de1 % cnsistaient en des attaques «0 day». 7

9 Dnnées sur les menaces dans le mnde Divulgatins de vulnérabilités Image 2. Tendances relatives à la gravité des vulnérabilités, à leur cmplexité, à leurs divulgatins par furnisseur et par type La tendance glbale de la sévérité des vulnérabilités (telle que définie par le dictinnaire CVE [Cmmn Vulnerabilities and Expsures], numér) est psitive. Les vulnérabilités de sévérité myenne et élevée divulguées au curs du premier semestre de 2011 nt chuté respectivement de 6,8 % et de 4,4 % par rapprt au deuxième semestre de Les vulnérabilités de faible cmplexité (les plus faciles à expliter) nt chuté de 41,2 % par rapprt à la péride de 12 mis précédente. 8

10 Les chiffres relatifs aux divulgatins de vulnérabilités au niveau des navigateurs et des systèmes d'explitatin nt manifesté une stabilité effective durant plusieurs années. Cncrètement, ces catégries représentent respectivement 12,7 % et 15,7 % de l'ensemble des vulnérabilités divulguées durant le premier semestre de Les vulnérabilités cnstatées au niveau de prduits Micrsft cnstituent 6,9 % de l'ensemble des vulnérabilités divulguées durant le premier semestre de 2011, ce qui représente une baisse par rapprt aux 8,2 % enregistrés au curs du deuxième semestre de Attaques La Figure 3 illustre la prédminance de plusieurs types d'attaques pur chaque trimestre entre le trisième trimestre de 2010 et le deuxième de Figure 3. Attaques détectées et blquées par des prduits Micrsft anti-lgiciels malveillants entre le trisième trimestre de 2010 et le deuxième de 2011, classées par platefrme u technlgie ciblée Les types d'attaques les plus curamment bservés au curs du premier semestre de l'année 2011 regrupaient les attaques ciblant des vulnérabilités dans l'envirnnement d'exécutin Java d'oracle (auparavant Sun), dans la machine virtuelle Java et au niveau de Java SE dans l'envirnnement Java Develpment Kit (JDK). Les explitatins de failles de sécurité au niveau de 9

11 Java nt été respnsables de 30 à 50 % de l'ensemble des attaques bservées au curs de chacun des quatre derniers trimestres. Les détectins d'attaques au niveau des systèmes d'explitatin nt sensiblement augmenté au curs du deuxième trimestre de 2011 du fait d'une augmentatin des explitatins de la vulnérabilité CVE Bien que cela semble extrardinaire par rapprt à d'autres types d'attaques, les détectins d'attaques ciblant Adbe Flash nt augmenté au deuxième trimestre de 2011 à raisn de 40 fis le vlume enregistré au curs du premier trimestre du fait de l'explitatin de deux vulnérabilités récemment détectées. Les attaques ciblant CVE , une vulnérabilité au niveau de Windws Shell, nt sensiblement augmenté au deuxième trimestre de 2011 et elles nt été respnsables de l'augmentatin des attaques au niveau des systèmes d'explitatin enregistrée au curs du deuxième trimestre de La vulnérabilité a initialement été détectée cmme étant explitée par la famille Win32/Stuxnet au milieu de l'année

12 Attaques au niveau de dcuments Figure 4. Types d'attaques détectées et blquées par des prduits Micrsft anti-lgiciels malveillants entre le trisième trimestre de 2010 et le deuxième de 2011 Les attaques qui nt affecté Adbe Acrbat et Adbe Reader nt cnstitué la majrité des attaques au niveau des frmats de dcument détectées au curs du premier semestre de Pratiquement tutes ces attaques impliquaient la catégrie générique d'attaques Win32/Pdfjsc. Plus de la mitié des attaques au niveau de Micrsft Office impliquaient CVE , une vulnérabilité au niveau de l'analyseur RTF dans les versins de Micrsft Wrd. 11

13 Lgiciels malveillants et lgiciels ptentiellement indésirables Sauf indicatin cntraire, les infrmatins reprises dans cette sectin nt été cllatinnées à partir de dnnées télémétriques générées à partir de plus de 600 millins d'rdinateurs dans le mnde et de certains des services en ligne les plus utilisés sur Internet. Les taux d'infectins snt exprimés en rdinateurs nettyés sur mille rdinateurs ; ceux-ci crrespndent au nmbre d'rdinateurs signalés cmme nettyés sur un trimestre par tranche de mille exécutins de l'util de suppressin des lgiciels malveillants. Cnsultez la sectin «Lgiciels malveillants» du site Web du Rapprt sur les dnnées de sécurité de Micrsft pur plus d'infrmatins sur la métrique en questin. Taux d'infectin au niveau des systèmes d'explitatin Figure 5. Taux d'infectin (CCM) par système d'explitatin et par service pack au deuxième trimestre de «32» = éditin 32 bits ; «64» = éditin 64 bits. SP = Service Pack. Systèmes d'explitatin pris en charge avec au mins 0,1 % du nmbre ttal d'exécutins enregistrées pur le deuxième trimestre de Similairement aux pérides précédentes, les taux d'infectin relatifs aux systèmes d'explitatin Micrsft et aux service packs plus récents snt sensiblement inférieurs aux taux précédents, au niveau des platefrmes de clients et de serveurs. Windws 7 et Windws Server 2008 R2, les versins 12

14 les plus récentes du client et du serveur Windws, enregistrent le taux d'infectin le plus bas, cmme le mntre la Figure 4. Les taux d'infectin pur Windws XP SP3 et Windws Vista nt chuté dès la publicatin, en février 2011, d'une mise à jur autmatique qui a mdifié la manière dnt la fnctin Exécutin autmatique fnctinne sur ces platefrmes, afin que les fnctinnalités de ces dernières sient adaptées à Windws 7. L'effet de cette mdificatin peut être bservé dans les statistiques d'infectin relatives à Win32/Rimecud, la neuvième catégrie de menaces la plus détectée et l'une des premières à expliter la fnctin Exécutin autmatique. Familles et catégries de menaces Figure 6. Détectins par catégrie de menaces, entre le trisième trimestre de 2010 et le deuxième de 2011, par purcentage de l'ensemble des rdinateurs signalant des détectins Les rnds crrespndent aux catégries de lgiciels malveillants, les carrés aux catégries de lgiciels ptentiellement indésirables. Win32/OpenCandy était la famille de menaces la plus curamment détectée de manière glbale au premier semestre de OpenCandy est un lgiciel de publicité qui peut être furni avec certains prgrammes d'installatin de lgiciels tiers. JS/Prnpp, deuxième famille de menaces la plus cmmunément détectée glbalement au premier semestre de 2011, est un myen de détectin des 13

15 bjets JavaScript spécialement cnçus qui essaient d'afficher des publicités de type pp-under dans les navigateurs Web des utilisateurs. Win32/Htbar, la famille de menaces la plus cmmunément détectée au deuxième trimestre de 2011 et la trisième au premier semestre de 2011, est un lgiciel de publicité qui installe une barre d'utils de navigateur qui affiche des annnces de type pp-up seln la manière dnt il cntrôle les activités de navigatin Web. Les détectins de Win32/FakeRean nt augmenté de plus de 300 % entre le premier et le deuxième trimestre de 2011 pur devenir la famille de lgiciels de sécurité de serveurs nn autrisés la plus cmmunément détectée au secnd trimestre. Menaces au niveau des entreprises Les familles de vers ccupent les tris premières places des familles de lgiciels malveillants les plus curamment détectés sur des rdinateurs appartenant à un dmaine, une cnfiguratin plus cmmune aux envirnnements d'entreprises qu'aux envirnnements dmestiques. Les familles de lgiciels malveillants significativement plus fréquentes sur des rdinateurs appartenant à un dmaine cmprennent Win32/Cnficker et le lgiciel ptentiellement indésirable Win32/RealVNC. RealVNC est un prgramme permettant à un rdinateur d'être cntrôlé à distance, à l'instar des Services de Bureau à distance. Celui-ci cmpte un nmbre d'utilisatins autrisées, mais les utilisateurs malveillants l'nt également utilisé pur prendre le cntrôle d'rdinateurs d'utilisateurs à des fins malveillantes. La famille de virus Win32/Sality, qui ne faisait pas partie des dix familles les plus détectées sur des rdinateurs appartenant à un dmaine en 2010, ccupe désrmais la neuvième place du classement au premier semestre de Menaces au niveau du currier électrnique Le vlume de currier indésirable blqué par Micrsft Frefrnt Online Prtectin fr Exchange (FOPE) a sensiblement chuté au curs des 12 derniers mis, à savir de 89,2 milliards de messages en juillet 2010 à 25 milliards en juin 2011, principalement en raisn de la mise hrs service des deux btnets principaux : Cutwail, mis hrs service en aût 2010, et 14

16 Rustck, mis hrs service en mars 2011, à la suite d'une péride de latence qui a débuté au mis de janvier 1. Similairement aux pérides précédentes, les publicités pur des prduits pharmaceutiques nn sexuels (28 % du ttal) et pur des prduits nn pharmaceutiques (17,2 %) représentent la majeure partie des messages indésirables blqués par les filtres de cntenu de FOPE au premier semestre de La prprtin de messages indésirables cmpsés uniquement d'une image a chuté à 3,1 % du ttal au premier semestre 2011, sit un recul par rapprt aux 8,7 % de Image 7. Messages entrants blqués par les filtres de FOPE au premier semestre de 2011, par catégrie Sites Web malveillants Les hameçnneurs nt généralement ciblé des sites financiers plutôt que d'autres types de sites. Tutefis, la majeure partie des impressins de hameçnnage signalées au premier semestre de 2011 cncernaient des sites 1 Pur plus d'infrmatins sur la mise hrs service de Cutwail, cnsultez le Rapprt sur les dnnées de sécurité de Micrsft, Vlume 10 (juillet-décembre 2010). Pur plus d'infrmatins sur la mise hrs service de Rustck, cnsultez le rapprt «Cmbattre la menace Rustck» dispnible dans le Centre de téléchargement Micrsft. 15

17 qui ciblaient des réseaux sciaux, avec un pic de détectins de 83,8 % pur le mis d'avril. (Une expsitin à l hameçnnage crrespnd à une instance ù un utilisateur essaie de visiter un site de hameçnnage cnnu à l'aide de Windws Internet Explrer qui se truve être blqué par le filtre SmartScreen. Cnsultez la sectin «Sites Web malveillants» du site Web du Rapprt sur les dnnées de sécurité de Micrsft pur plus d'infrmatins.) Dans l'ensemble, les expsitins à l hameçnnage qui ciblaient les réseaux sciaux nt représenté 47,8 % de l'ensemble des expsitins à l hameçnnage au premier semestre de 2011, suivies par celles ciblant des institutins financières (35 %). En cmparaisn, les sites de hameçnnage qui ciblaient des institutins financières représentaient en myenne 78,3 % des sites de hameçnnage actifs signalés chaque mis au curs du premier semestre de 2011, par rapprt aux seuls 5,4 % de sites de hameçnnage ciblant les réseaux sciaux. Les institutins financières ciblées par des hameçnneurs peuvent se cmpter par centaines, et des apprches de hameçnnage persnnalisées snt nécessaires pur chacune d'elles. Le nmbre de sites de réseaux sciaux étant nettement inférieur, les hameçnneurs s'attaquant à ces derniers peuvent cibler bien plus de persnnes par site. Malgré tut, les pssibilités d'accès illégal direct aux cmptes bancaires des victimes impliquent que les institutins financières demeurent des sites de hameçnnage sllicités ; elles se placent à la deuxième, vire à la première place, du classement du nmbre d'impressins par mis. Ce phénmène se rencntre également à échelle réduite au niveau des services en ligne et des sites de jeux. Un nmbre réduit de services en ligne représente la majeure partie du trafic vers de tels sites ; ainsi les sites de hameçnnage qui ciblaient des services en ligne cnstituaient 11 % des impressins avec seulement 3,6 % de sites. Le trafic relatif aux jeux en ligne a tendance à s'étendre à un grand nmbre de sites. De ce fait, les sites de hameçnnage qui ciblaient des destinatins de jeux en ligne représentaient 8,9 % des sites actifs, mais n'enregistraient que 4,3 % des impressins. Par ailleurs, les sites de hameçnnage qui ciblaient le cmmerce en ligne ne représentaient que 3,8 % des sites actifs et 1,9 % des impressins. Cette tendance indique que les hameçnneurs n'nt pas jugé que les sites de cmmerce en ligne étaient des cibles particulièrement intéressantes. Vus truverez des infrmatins sur la Prtectin de vtre rganisatin, de vs lgiciels et de vtre persnnel à la sectin «Gestin du risque» du site Web du Rapprt sur les dnnées de sécurité de Micrsft 16

18 17

19 18 1 Micrsft Way Redmnd, WA micrsft.cm/security