Microsoft Security Intelligence Report

Transcription

1 Microsoft Security Intelligence Report Volume 12 JUILLET-DÉCEMBRE 2011 RÉSULTATS CLÉS

2

3 Microsoft Security Intelligence Report Ce document ne peut être utilisé qu'à des fins d'information. MICROSOFT NE SE PORTE GARANT, DE MANIÈRE EXPRESSE, IMPLICITE OU LÉGALE, D'AUCUNE DES INFORMATIONS REPRISES DANS CE DOCUMENT. Ce document est présenté «en l'état». Les informations et opinions reprises dans ce document, en ce compris les URL et autres références à des sites Web, sont susceptibles d'être modifiées sans préavis. Vous assumez l'entière responsabilité de l'utilisation de ces informations. Copyright 2012 Microsoft Corporation. Tous droits réservés. Les noms d'entreprises et de produits existants mentionnés ci-après peuvent être les marques commerciales de leurs propriétaires respectifs. JUILLET-DÉCEMBRE

4 Microsoft Security Intelligence Report, volume 12 Le volume 12 du Microsoft Security Intelligence Report (SIRv12) fournit un aperçu précis des vulnérabilités et attaques logicielles, sur les menaces des codes malveillants et sur les logiciels potentiellement indésirables de Microsoft et de tiers. Microsoft a élaboré cet aperçu sur la base d'analyses de tendances détaillées réalisées au cours des dernières années, avec un intérêt particulier pour le second semestre Ce document résume les principaux résultats du rapport. Le rapport complet comprend également une analyse détaillée des tendances observées dans plus de 100 pays/régions du monde et propose des pistes de gestion des risques menaçant votre organisation, vos logiciels et votre personnel. SIRv12 contient les deux articles suivants qui abordent respectivement les menaces liées au programme malveillant Conficker et les menaces persistantes avancées (APT, Advanced Persistent Threats). Propagation de Conficker Cet article fournit des informations issues d'une analyse effectuée par Microsoft afin de mieux comprendre pourquoi Conficker reste une menace majeure, en particulier pour les entreprises. Cette analyse repose notamment sur des renseignements obtenus lorsqu'il a été question de Conficker dans SIRv7. Cet article démontre que Conficker reste une menace, traite en détail de la dangerosité du programme malveillant et indique aux organisations les mesures qu'elles peuvent prendre pour s'en protéger. Il est possible de télécharger l'analyse complète depuis le site 4 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

5 Adversaires déterminés et attaques ciblées Les attaques ciblées contre les organisations, les gouvernements et les particuliers se sont multipliées au cours des dernières années. Cet article présente ces menaces, également appelées «menaces persistantes avancées» (APT, Advanced Persistent Threats). Cet article évoque les menaces que représentent les attaques ciblées menées par des adversaires déterminés ; il définit également une stratégie défensive de prévention, de détection, de confinement et de récupération. Il est possible de télécharger l'analyse complète depuis le site Il est possible de télécharger le rapport complet, ainsi que les volumes précédents et les vidéos connexes, depuis le site JUILLET-DÉCEMBRE

6 Évaluation internationale de la menace Vulnérabilités Les vulnérabilités sont définies comme les points faibles d'un logiciel permettant à une personne mal intentionnée de compromettre l'intégrité, la disponibilité ou la confidentialité de ce logiciel ou des données qu'il traite. Dans le pire des cas, elle peut aller jusqu'à permettre aux personnes mal intentionnées d'exploiter le système compromis afin d'exécuter du code malveillant, sans que l'utilisateur ne s'en rende compte. Figure 1. Tendances concernant la gravité des vulnérabilités (CVE), la complexité des vulnérabilités, les divulgations par le fournisseur et les divulgations par type, pour l'ensemble du secteur des logiciels, 1S09-2S La nomenclature utilisée dans ce rapport pour désigner différentes périodes de référence correspond au format nsaa, où ns se rapporte à la première (1) ou seconde (2) moitié de l'année, et où AA représente l'année. Par exemple, 1S09 représente la période couvrant le premier semestre 2009 (du 1er janvier au 30 juin) et 2S11 désigne la période couvrant le second semestre 2011 (du 1er juillet au 31 décembre). 6 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

7 La tendance globale du niveau de gravité des vulnérabilités a été positive. Les trois classes de gravité CVSS ont connu une baisse entre 1S11 et 2S11 ; les divulgations liées aux classes de gravité moyenne et élevée continuent à diminuer à chaque période depuis 2S09. Codes malveillants Un code malveillant est un code qui profite de vulnérabilités logicielles afin d'infecter, de perturber ou de prendre le contrôle d'un ordinateur sans le consentement de l'utilisateur et, en général, sans même qu'il en soit conscient. Les codes malveillants visent des vulnérabilités dans des systèmes d'exploitation, des navigateurs Web, des applications ou des composants logiciels installés sur l'ordinateur. Pour plus d informations, téléchargez le SIRv12 en intégralité depuis le site Figure 2. Codes malveillants détectés et bloqués par les logiciels anti-programme malveillant de Microsoft pour chaque trimestre de 2011, par technologie ou plateforme cible JUILLET-DÉCEMBRE

8 La détection des codes malveillants propagés via HTML ou JavaScript a considérablement augmenté au cours du second semestre 2011, principalement en raison de l'émergence de JS/Blacole, une famille de codes malveillants utilisée par le kit de codes malveillants «Blackhole» pour propager des logiciels malveillants par le biais de pages Web infectées. La détection des codes malveillants qui ciblent les vulnérabilités des lecteurs et éditeurs de documents a connu une hausse lors du 4T11, plaçant ainsi ces vulnérabilités en troisième position des types de codes malveillants le plus souvent détectés au cours de ce trimestre, principalement à cause du nombre croissant de codes malveillants ciblant Adobe Reader. 8 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

9 Programmes malveillants et potentiellement indésirables Sauf spécification contraire, les informations de cette section ont été compilées à partir de données de télémesure générées à partir de plus de 600 millions d'ordinateurs dans le monde et plusieurs des services en ligne les plus sollicités sur Internet. Les taux d'infection sont indiqués à l'aide d'une unité appelée «ordinateurs nettoyés pour mille exécutions» (Computers Cleaned per Mille, CCM) et représentent le nombre d'ordinateurs signalés comme étant nettoyés au cours d'un trimestre toutes les exécutions de l'outil de suppression des programmes malveillants de Windows, disponible via Microsoft Update et le site Web du centre de sécurité Microsoft. Pour fournir un aperçu global des modèles d'infection, la figure 3 indique les taux d'infection dans le monde à l'aide de l'unité CCM. Le nombre de détections et de suppressions dans les différents pays/régions peut varier fortement d'un trimestre à l'autre. Figure 3. Taux d'infection par pays/région au 4T11, par CCM JUILLET-DÉCEMBRE

10 Figure 4. Taux d'infection (CCM) par système d'exploitation et Service Pack au 4T11 «32» = version 32 bits. «64» = version 64 bits. SP = Service Pack. RTM = Released To Manufacturing (version finale), ou sans Service Pack. Systèmes d'exploitation pris en charge avec au moins 0,1 % du nombre total d'exécutions au 4T11. Ces données sont normalisées : le taux d'infection pour chaque version de Windows est calculé en comparant un nombre égal d'ordinateurs par version (par exemple, ordinateurs Windows XP SP3 par rapport à ordinateurs Windows 7 RTM). 10 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

11 Familles de menaces Figure 5. Tendances en matière de détection pour certaines familles importantes en 2011 Win32/Keygen a été la famille la plus souvent détectée au 4T11, et la seule des familles du top dix à enregistrer plus de détections au quatrième qu'au premier trimestre de l'année. Keygen est une détection générique d'outils qui génèrent des clés pour des versions illicites de divers produits logiciels. Keygen, Win32/Autorun et Win32/Sality sont les seules familles du top dix à afficher plus de détections au 4T11 qu'au 3T11. Menaces pour les particuliers et les entreprises La comparaison des menaces rencontrées par les ordinateurs appartenant ou non à un domaine peut fournir un aperçu des différentes méthodes qu'utilisent les personnes mal intentionnées pour cibler les entreprises et les particuliers. Cette comparaison permet également de savoir quelles sont les menaces les plus susceptibles d'aboutir dans chaque environnement. JUILLET-DÉCEMBRE

12 Cinq familles sont présentes sur les deux listes, notamment les familles génériques Win32/Keygen et Win32/Autorun, ainsi que la famille de codes malveillants JS/Blacole. Parmi les familles beaucoup plus répandues sur les ordinateurs appartenant à un domaine, nous citerons Conficker, la famille de botnet Win32/Zbot et le logiciel potentiellement indésirable Win32/RealVNC. Parmi les familles beaucoup plus présentes sur les ordinateurs n'appartenant pas à un domaine, nous citerons les familles de logiciels publicitaires JS/Pornpop et Win32/Hotbar et la détection générique ASX/Wimad. Wimad permet la détection de fichiers malveillants au format ASX (Advanced Stream Redirector) utilisé par le Lecteur Windows Media. 12 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

13 Menaces liées au courrier électronique Courrier indésirable bloqué Les informations présentes dans cette section du Microsoft Security Intelligence Report sont compilées à partir de données de télémesure fournies par Microsoft Forefront Online Protection for Exchange (FOPE), qui offre des services de filtrage de courrier indésirable, de courrier d'hameçonnage et de programmes malveillants pour des milliers de clients d'entreprise Microsoft qui traitent des dizaines de milliards de messages tous les mois. Figure 6. Messages bloqués par FOPE tous les mois en 2011 JUILLET-DÉCEMBRE

14 FOPE a bloqué 14 milliards de messages en décembre 2011, soit moins de la moitié du nombre de messages bloqués en janvier. Le déclin significatif de messages bloqués observé en 2011 est probablement imputable à des actions de manipulation menées à l'encontre de certains botnets à volume élevé, dont le botnet Rustock en mars et le botnet Kelihos en septembre. Ces actions, menées par Microsoft en coopération avec d'autres membres du secteur des logiciels et des organismes chargés de l'application de la loi, semblent avoir eu un impact significatif sur la capacité des personnes mal intentionnées de faire parvenir leurs messages à un large public. Les filtres de contenu FOPE permettent d'identifier plusieurs types courants de courrier indésirable. La figure suivante illustre la présence relative de ces types de courrier indésirable en Figure 7. Messages entrants bloqués par les filtres FOPE au 2S11, par catégorie 14 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

15 Sites Web malveillants Les sites d'hameçonnage sont hébergés dans le monde entier sur des sites d'hébergement gratuits, sur des serveurs Web compromis et dans de nombreux autres contextes. Figure 8. Sites d'hameçonnage pour hôtes Internet dans différentes régions du monde au 2S11 L'Iran (avec 16,8 sites pour hôtes) et la Corée (avec 5,52) comptent parmi les zones accueillant des concentrations anormalement élevées de sites d'hébergement de programmes malveillants. Figure 9. Sites de distribution de programmes malveillants pour hôtes Internet dans différentes régions du monde au 2S11 JUILLET-DÉCEMBRE

16 Un site de téléchargements intempestifs automatiques est un site Web qui héberge un ou plusieurs codes malveillants ciblant les vulnérabilités de navigateurs Web et de modules complémentaires de navigateurs. Les ordinateurs vulnérables peuvent être infectés par un programme malveillant après une simple visite d'un tel site Web, sans même tenter de télécharger quoi que ce soit. Figure 10. Pages de téléchargements intempestifs automatiques indexées par Bing.com à la fin du 4T11, pour URL dans chaque pays/région 16 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

17

18 One Microsoft Way Redmond, WA microsoft.com/security