Rapport Sophos 2012 sur les menaces à la sécurité

Transcription

1 Rapport Sophos 2012 sur les menaces à la sécurité Apprenez à discerner les véritables menaces au-delà des battages médiatiques

2 Table des matières Avant-propos... 1 L'année 2011 en revue : l'hacktivisme en tête d'affiche Les atteintes à la sécurité L'hacktivisme au devant de la scène....4 Stratégies de protection contre l'hacktivisme... 4 Fuites des données... 5 Conficker reste toujours aussi présent malgré le correctif....6 Malwares... 6 Stratégies de protection contre les malwares... 6 Le déclin des faux antivirus... 7 Les attaques furtives et ciblées ne sont pas uniquement destinées à l'industrie de la défense... 7 L'anéantissement des botnets freine momentanément le spam...8 Les origines du spam... 9 Stratégies de protection contre le spam et le spearphishing... 9 Vidéos Beth Jones des SophosLabs explique les malware 6 Mark Harris des SophosLabs explique les faux antivirus 7 Fraser Howard, chercheur principal des SophosLabs, explique les vulnérabilités Web 11 Richard Wang des SophosLabs explique les vulnérabilitiés des systèmes d'exploitation 14 James Lyne, Directeur de la Stratégie Technologique, explique la sécurité mobile 18 Gerhard Eschelbeck, Directeur Technique, explique la protection des services hébergés 20 Graham Cluley, fondateur du blog NakedSecurity.sophos.com explique les menaces liées aux réseaux sociaux 23 Chester Wisniewski, Expert sécurité explore les dernières menaces Web 24 Les menaces Web Anatomie d'une attaque : Téléchargements passifs et famille Blackhole...11 Comment fonctionne Blackhole? Coup d'oeil sur les statistiques : méthodes de propagation des menaces Web Stratégies de protection contre la famille Blackhole Protection des réseaux grâce à des passerelles sécurisées Stratégies de protection pour les réseaux Menaces contre les systèmes et logiciels Systèmes d'exploitation : l'émergence des malwares Mac Stratégies de protection pour les systèmes d'exploitation Correctifs logiciels : au-delà de Microsoft...15 Stratégies de protection pour les logiciels Périphériques amovibles : prévenir la fuite des données conseils pour limiter les risques de fuites des données Stratégies de protection pour les périphériques amovibles

3 Risques liés aux modes de travail La consumérisation de l informatique...17 Périphériques mobiles Stratégies de protection pour les périphériques mobiles Sécurité des systèmes d'exploitation mobiles Etude de cas : Fuite des données dans le domaine de la santé Services informatiques hébergés L insécurité du Cloud Fuites provenant du nuage Stratégies de protection pour le cloud computing Les réseaux sociaux L'assouplissement des restrictions et le risque pour les marques Stratégies de protection pour les réseaux sociaux L'érosion des politiques de confidentialité Sophos Complete Security...24 Prévisions 2012: 10 tendances En conclusion Sources Graphiques Le risque d'exposition aux menaces.. 8 Top 12 des pays émetteurs de spam.. 9 Répartition du spam par continent... 9 Le panorama des menaces Web Méthodes de propagation des menaces 12 Malwares Mac Sondage : La sécurité mobile Sondage : La sécurité des réseaux sociaux Symboles Regarder une vidéo Télécharger un essai gratuit Lire un livre blanc Rapport Sophos 2012 sur les menaces à la sécurité 3

4 4

5 Avant-propos En tant qu acteur du marché de la sécurité informatique, nous avons constaté au cours de la dernière année une reconnaissance grandissante de notre travail par le grand public. En 2011, un certain nombre de cyberattaques très visibles a fait la une des medias partout dans le monde, mais le problème sous-jacent nous affecte tous. Il semble que les cybercriminels deviennent plus audacieux dans leurs attaques grâce à la multiplication d'outils commerciaux qui facilitent la génération massive de campagnes de code malveillant et d'exploits. Ceci a provoqué une augmentation significative du volume de malwares et d'infections. Et pour 2012, nous anticipons des attaques Web encore plus sophistiquées, une utilisation toujours plus répandue des périphériques mobiles et smartphones, et l'adoption rapide du cloud computing qui entraîneront des défis de sécurité supplémentaires. Le Web continuera sans aucun doute à être le principal vecteur d'attaque. Les cybercriminels ont tendance à se focaliser sur les vulnérabilités, et utilisent chaque technique jusqu'à ce qu'elle ne soit plus efficace. C'est le cas des courriels de spam, une technique toujours utilisée mais moins répandue qu'avant puisque les utilisateurs déploient désormais des passerelles hautement sécurisées. Le Web demeure la source principale de propagation des menaces, en particulier les malwares qui utilisent l ingéniérie sociale, ou ceux ciblant le navigateur et les applications associées au moyen d'exploits. Les plates-formes de réseaux sociaux et les applications Web similaires sont devenues très prisées des cybercriminels, une tendance en pleine évolution. L'invasion rapide et massive des smartphones et des tablettes personnelles dans le domaine professionnel entraînent d'importants défis de sécurité pour les entreprises. Il est demandé aux services informatiques de connecter ces périphériques au réseau de l'entreprise et de protéger les données contenues sur des appareils dont ils n'ont pas le contrôle. Ceux-ci exigent des précautions de sécurité accrues en raison de leur degré de mobilité : application de politiques d'utilisation acceptable, chiffrement des données de l'entreprise, accès aux réseaux de l'entreprise, filtrage du contenu et de la productivité et bien sûr, protection contre les malwares. La nature unique des formats modernes (en termes de puissance, de mémoire et de durée de vie de la batterie) exige une reconsidération de la sécurité et des mécanismes de défense. Le cloud computing, est l une des révolutions les plus significatives en terme de délivrance des applications aux utilisateurs, peut considérablement améliorer l'efficacité et l administrabilité des solutions de sécurité, telles que la sécurité Web, la protection des données, ou même la sécurité des systèmes d'extrémité et des mobiles administrée via le nuage. Tout en permettant à l'utilisateur de se défaire de ses obligations en termes d'administration des applications, ce modèle introduit de nouveaux défis de sécurité et de confidentialité des données au repos et en mouvement. La protection des données dans un monde où les systèmes changent rapidement et les informations circulent librement, soulève des défis liés aux personnes, aux processus et aux technologies. A ceux-ci s'ajoutent les exigences toujours plus strictes des organismes régulateurs en matière de conformité. Plus nous modifierons notre manière de communiquer et de partager les données, plus nous pouvons nous attendre à ce que ces systèmes soient la cible des cybercriminels. Dans cette édition du rapport Sophos des menaces à la sécurité, nous souhaitons partager avec vous les résultats de nos recherches récentes en termes d'hacktivisme, de menaces Web, d'informatique dans le nuage et de sécurité des réseaux sociaux. Nous vous proposons également de découvrir nos perspectives pour l'année à venir. Bonne lecture! Gerhard Eschelbeck, Directeur technique chez Sophos Rapport Sophos 2012 sur les menaces à la sécurité 1

6 L'année 2011 en revue: l'hacktivisme à la une L'année 2011 s'est caractérisée par des fuites de données majeures et des attaques ciblées sur des entreprises et agences renommées. Les cybercriminels ont diversifié leurs cibles pour inclure de nouvelles plates-formes, en raison de l'accélération de l'usage des périphériques mobiles à des fins professionnelles. Nous avons également vu un certain nombre de groupes d'hacktivistes au devant de la scène médiatique, en dépit de l'augmentation des menaces courantes. Les experts en sécurité et les médias ont beaucoup parlé des groupes d'hacktivistes Lulz Security (LulzSec) et Anonymous et du chaos qu'ils ont causé en disséminant des documents confidentiels et en attaquant des sites Web. Nous avons observé avec consternation les attaques ciblées envers des organisations connues telles que la société RSA et certaines sociétés de sécurité privées. Des kits de logiciels malveillants commerciaux comme la menace Blackhole entraînent une professionnalisation croissante des cybercriminels. Il en résulte une génération massive de nouveaux codes malveillants et d'exploits, de même qu'une augmentation considérable du nombre de malwares. Au cours de l'année à venir, les entreprises seront mises au défi de gérer non seulement ces menaces mais aussi les nouvelles façons d'accéder aux applications et aux données, telles que les services dans le nuage. 2

7 Le volume d'attaques par malwares et de sites infectés a continué à augmenter malgré l attention croissante que les gouvernements et les entreprises accordent depuis peu à la cyber-sécurité. Au cours du second semestre 2011, nous avons rencontré en moyenne nouvelles URL malveillantes par jour, soit une augmentation de plus de 50 % par rapport au premier semestre. Les menaces traditionnelles de type Morto ont prouvé que certaines règles de base telles que la gestion de mots de passe fiables et de correctifs représentent toujours un défi de taille pour les services informatiques des entreprises. Les infections provenant de failles non corrigées dans les applications ou le navigateur, survenant par le biais de sites légitimes piratés ou de téléchargement passifs, sont restées courantes et coûteuses pour les entreprises. En 2012, nous devons nous préparer à des attaques ciblant les nouvelles platesformes et périphériques, soit tous les endroits où nous stockons nos données personnelles et professionnelles. Nous devrons également mettre à niveau nos outils de sécurité pour résoudre la plupart de ces problèmes. Mais avant de pouvoir faire face aux menaces de demain, nous devons tirer des leçons de nos erreurs passées. Nous ne pouvons pas nous permettre d'oublier les bases de la sécurité. Rapport Sophos 2012 sur les menaces à la sécurité 3

8 Les atteintes à la sécurité Les cybercriminels étaient depuis très longtemps motivés uniquement par l'appât du gain. En 2011 toutefois, l'émergence de pirates protestataires tels que LulzSec et d'anonymous ont marqué un tournant dans l'histoire du piratage. L'hacktivisme au-devant de la scène Les hacktivistes s'attaquent à des entreprises, des gouvernements, des organisations ou des individus pour des raisons politiques. En infectant des pages web, en redirigeant le trafic, en lançant des attaques par déni de service et en dérobant des informations, ces groupes cherchent avant tout à se faire remarquer. Le groupe hacktiviste LulzSec a dominé les médias au cours du premier semestre 2011 pour ses attaques contre entre autres Sony, PBS, le sénat américain, la CIA, et la filiale du FBI InfraGard. Ils ont ensuite annoncé leur séparation au bout de 50 jours. 1 Anonymous, un groupe de piratage international, prétend que ses actions appellent à la désobéissance civile. Le groupe Anonymous est soupçonné d'avoir mis hors service des sites à El Salvator, en Israël et à Toronto par le biais d'attaques par déni de service. Les pirates associés au groupe ont également disséminé les adresses de membres du personnel militaire américain suite à l'attaque de Booz Allen Hamilton. En décembre, Anonymous a paralysé le site de l'association familiale de Floride (FFA) qui s'était opposée à l'émission télévisée "All-American Muslim" et avait appelé au retrait des annonceurs. Anonymous a défiguré la page d'accueil du site de l'association avec un message déclarant que l'association portait atteinte à "la liberté d'expression". Les pirates ont ensuite diffusé les adresses électroniques et IP de plus de 30 abonnés au bulletin d'information de la FFA, ainsi que les détails de cartes bancaires de plus d'une dizaine de donateurs. 2 La diversité des cibles porte à croire que n'importe quelle institution est susceptible d'être visée, bien qu'une proportion infime d'entre elles ait réellement subi des attaques d'hacktivistes. Les services répressifs ont procédé à l'arrestation d'un certain nombre de membres de LulzSec et d'anonymous. En juin, le New Scotland Yard a arrêté un homme de 19 ans, soupçonné de faire partie de LulzSec, dans le comté d'essex au Royaume-Uni. D'autres arrestations ont eu lieu au Royaume-Uni et aux Etats-Unis. La police turque a interpellé 32 membres présumés d'anonymous en juin, et au mois de juillet, plusieurs dizaines de personnes ont été mises en examen en Italie et en Suisse pour des connections avec Anonymous. Stratégies de protection contre l'hacktivisme Le chiffrement est de loin la meilleure façon de se protéger contre les hacktivistes et l'accès non-autorisé aux données sensibles. 4

9 Le vol et la perte de données Le sujet des fuites de données occupe une place prédominante dans les médias. Et pour cause : depuis 2005, les brèches de sécurité ont compromis plus de 500 millions de dossiers américains. 3 De plus, les pertes de donnés survenant suite à des erreurs humaines sont tout aussi répandues. La fuite ou la suppression maladroite des données génèrent des risques : les données pourraient tomber aux mains d'individus mal intentionnés. Les données peuvent échapper à l'entreprise de plusieurs façons, notamment par le biais de serveurs non protégés, d'ordinateurs fixes et portables, de périphériques amovibles et de courriels. Les cybercriminels peuvent aussi utiliser les malwares pour pénétrer votre réseau afin de détruire ou détourner des données vitales à l'entreprise. En savoir plus sur les fuites de données Sécurité des données : Quelle est la situation actuelle? Quadrant magique Gartner pour la protection des données mobiles 2011 L'usurpation d'identité, et par conséquent le vol de cartes bancaires, a des implications majeures sur les finances et la réputation non seulement de l'individu qui en a été victime, mais également pour la société par le biais de laquelle les données ont été obtenues. Les entreprises peuvent réduire leurs risques en traitant, utilisant et sauvegardant les informations personnelles avec une extrême précaution L'institut Ponémon indique une constante augmentation des coûts liés aux fuites de données dans son rapport le plus récent sur le sujet : le U.S. Cost of a Data Breach report. En 2010, les coûts associés aux fuites de données atteignaient 214 USD par dossier compromis et en moyenne 7,2 millions d'usd par incident. 4 Ce chiffre inclut les coûts directs d'une fuite, tels que la notification des clients et les frais légaux, mais également les coûts indirects tels que la perte de confiance des clients. Rapport Sophos 2012 sur les menaces à la sécurité 5

10 Les atteintes à la sécurité Conficker reste toujours aussi présent malgré le correctif Plus de trois ans après son lancement initial, le ver Conficker demeure le logiciel malveillant le plus répandu, représentant 14,8% de toutes les tentatives d'infection rencontrées par Sophos au cours des six derniers mois. Evidemment, de nombreux PC infectés tentent toujours de diffuser ce vieux virus. C'est en 2008 que Conficker a commencé à se propager au travers de millions de PC non protégés. Il est estimé qu'à son apogée, Conficker a infecté plus de 11 millions de PC dans le monde. Fin 2011, Conficker était toujours la menace la plus répandue au monde. 5 L'année dernière, le ver était en tête des sujets de recherche des clients Sophos, faisant l'objet de 4 millions de questions provenant d'1 million d'ordinateurs. L'installation de correctifs est toujours la meilleure stratégie pour se protéger contre les infections. Bien que Microsoft ait corrigé cette faille il y a plus de trois ans, le taux d'infection actuel par Conficker est une preuve indéniable que nous sommes nombreux à ne pas installer régulièrement les correctifs disponibles. Avec une stratégie d application des correctifs cohérente la plupart des utilsateurs sont bien protégés contre Conficker. Sa présence détourne néanmoins l'attention par rapport aux menaces plus discrètes et ciblées. Stratégies de protection contre les malwares Pour réduire les risques, l'utilisation d'internet doit être filtrée par une technologie de protection de pointe, capable de détecter les malwares sur des sites piratés et de répondre rapidement aux domaines et aux URLs malveillantes émergentes. Malwares Les malwares sont des logiciels conçus pour endommager ou s'infiltrer dans un système informatique sans le consentement du propriétaire, comme notamment les virus, vers, spywares, adwares et chevaux de Troie. Certains types de malwares sont indécelables. Généralement, les malware Web sont conçus pour détourner des mots de passe et des informations personnelles, ou pour utiliser votre poste à votre insu comme plate-forme de distribution de spam, de malwares ou de contenu inapproprié. Les principaux problèmes de malwares de 2011 sont abordés dans ce rapport. Sophos contre les menaces au moyen de technologies de détection proactive. 80% des cas de malwares rencontrés par nos clients au cours du dernier trimestre 2011 (soit plus de 5,5 millions de fichiers) ont été identifiés par seulement 93 détections proactives. Celles-ci sont conçues pour détecter non seulement les millions de malwares existants, mais aussi les futurs malwares. Il est plus efficace d'être proactif plutôt que réactif et de répondre aux menaces individuellement dès leur apparition. En savoir plus sur les malwares Les huit menaces que votre antivirus ne peut pas arrêter Beth Jones des SophosLabs explique les malwares Outil de suppression de Conficker gratuit Télécharger maintenant 6

11 Le déclin des faux antivirus Les logiciels de faux antivirus demeurent l'un des types de malwares les plus courants, bien que les choses aient commencé à changer en Ceux-ci commencent par prétendre avoir trouvé des virus sur votre ordinateur. Le contrôle initial est gratuit mais si vous voulez nettoyer les soi-disant "menaces", il vous faudra payer. Les avertissements du faux antivirus poussent la victime à acheter le faux logiciel censé résoudre son problème. Il est intéressant de noter que cette escroquerie était omniprésente il y a six mois. Elle constituait la menace la plus visible sur PC et avançait vers le domaine Mac. Mais depuis, la création de faux antivirus par les cybercriminels est en chute libre. Bien qu'il soit difficile d'en identifier les causes, il semblerait que les mesures de répression internationales aient été efficaces. En juin 2011, le FBI a démantelé un gang de cybercriminels qui avaient réussi à vendre un faux antivirus à presque un million de personnes. Le produit coûtait entre $49.95 et $129 pièce, soit un total de plus de $72 millions. 6 Le lendemain, les autorités russes ont interpelé Pavel Vrublevsky, co-fondateur de ChronoPay, la plus importante société de traitement de paiements en ligne du pays. 7 Il s'avère que ChronoPay avait aussi traité le paiement des faux antivirus. Malgré la baisse considérable du nombre de faux antivirus, ces logiciels frauduleux demeurent très problématiques et sont responsables de 5,5% des infections du dernier semestre Les attaques furtives et ciblées ne sont pas uniquement destinées à l'industrie de la défense En 2011, des sociétés comme Mitsubishi Heavy Industries, Lockheed Martin, L-3 Communications et Northrup Grumman ont toutes été victimes d'attaques ciblées. Les experts estiment que ces entreprises ont été ciblées dans le but d'obtenir des informations confidentielles sur les systèmes d'armements. 8 Alors que les attaques contre les gouvernements ou l industrie de la défense sont toujours très médiatisées, il ne faut pas oublier que des entreprises ordinaires peuvent aussi en en être victimes. Les motivations des cybercriminels incluent en effet l'espionnage industriel comme le gain financier. De plus, les exploits utilisés pour ce type d attaques peuvent par la suite être vendus à d'autres criminels dans un pack d'exploits. Ces attaques utilisent souvent l ingénierie sociale, comme le fait d envoyer un message de la part d'une connaissance de la victime, ce qui pousse celle-ci à l'ouvrir. Un mode de diffusion ciblé permet aux pirates d'utiliser des documents malveillants dans le but d'exploiter des failles et d'installer des malwares. En savoir plus sur les faux antivirus Bloquer les faux antivirus : comment éliminer les scarewares de votre réseau Mark Harris des SophosLabs explique les faux antivirus Rapport Sophos 2012 sur les menaces à la sécurité 7

12 Les atteintes à la sécurité Par exemple, les fichiers PDF ou les images intégrées dans le code HTML peuvent compromettre les extensions du navigateur qui les traite. Si les objets eux-mêmes sont malveillants, l'examen du code HTML ne révèlera rien d'autre que la présence de l'objet. Il peut s'avérer difficile d'identifier les éléments malveillants sans obtenir les signatures d'attaque. Nous vous conseillons de vérifier la légitimité de toutes les balises de script relatives à l'intégration d'objet. Les tactiques furtives dont fait partie la famille de rootkits TDL deviennent de plus en plus courantes. Un rootkit dissimule la présence d'autres malwares, et peut également se camoufler lui-même. Les versions récentes de TDL sont particulièrement sournoises : elles n'ont besoin d'aucun fichier sur votre lecteur C. Elles stockent leurs fichiers dans un lieu secret en bordure de disque, ce qui leur permet de s'exécuter avant Windows. D après les SophosLabs, 32,8 ordinateurs en moyenne sont infectés sur un réseau compromis par Conficker. Une menace plus furtive telle que TDL en touche en moyenne 1,7 ordinateurs. Lorsqu'un malware n'infecte que quelques PC sur un même réseau, il est plus difficile à repérer et à supprimer, ce qui lui confère une durée de vie plus longue. L'anéantissement des botnets freine momentanément le spam Le 16 mars 2011, l Operation b107, un effort mené conjointement par Microsoft, FireEye, les autorités fédérales et l'université de Washington a permis d'anéantir le botnet Rustock. Avec une capacité d'expédition de plus de 30 milliards de messages de spam par jour, Rustock était connu pour ses s vantant les mérites de Viagra et d'autres produits pour Pharmacy Express. Sa fermeture a entrainé une réduction de 30% du volume de spam dans le monde, chiffre qui a continué à progresser pendant l'été Relative Risque risk relatif of running associé computer à l'exécution networks de réseaux around informatiques the world à échelle mondiale Luxembourg 2 2 Norway Norvège 3 3 Finlande 4 4 Sweden Suède 4 Japan Japon 6 6 UK Royaume-Uni 6 6 Germany Allemagne 7 7 US Etats-Unis 7 7 South Corée Korea du Sud China Chine Chili 61 Chile 61 L'indice d'exposition aux menaces (IEM) est le pourcentage de PC qui ont subi une attaque de malwares, destructrice ou pas, sur une période de trois mois. Les pays les moins touchés étaient le Luxembourg, avec un IEM de 2 suivi de près par la Norvège avec un score de 3 puis la Finlande et la Suède, tous deux avec un indice de 4. L'extrême inverse est dominé par le Chili, qui a obtenu un IEM de 61. Le Japon et le Royaume-Uni ont obtenu un indice de 6, les Etats-Unis et l'allemagne 7, la Corée du Sud 35 et la Chine 45. Source: SophosLabs, Données du 3e trimestre Indice 30 d'exposition 40 aux menaces Threat exposure rate 8

13 Malheureusement, quand une menace tend à disparaître, elle est vite remplacée par une nouvelle. Les SophosLabs ont noté l'augmentation des messages de spam contenant des malwares. Ceux-ci ont fait leur apparition peu après la fermeture du botnet Rustock, avec des périodes de pointe pendant les mois d'août et de septembre Le spearphishing est également en hausse. En 2011, les SophosLabs ont constaté une augmentation du nombre d'attaques ciblées tentant de détourner les codes d'accès des utilisateurs pour introduire des malwares. Le spearphishing rend les courriels crédibles en les personnalisant (ils semblent Spam provenir dirty dozen d'un collègue countries contenir des informations relatives à leur rôle dans Spam sources by continent US United States 11.43% Top 12 des pays émetteurs de spam 1. Etats-Unis 11.43% 2. Inde 8.02% 3. Corée du Sud 7.94% 4. Fédération Russe 7.52% 5. Brésil 5.62% 6. Italie 3.37% Pourcentage de spam l'entreprise). Davantage d'utilisateurs se laissent piéger et ouvrent le message, rendant le spearphishing plus efficace. Le montant détourné moyen par victime peut être 40 fois plus élevé que celui obtenu au cours d'une attaque en masse. Il est estimé que le spearphishing a rapporté en tout $150 millions en 2011, contre $50 millions en IN India 8.02% KR Korea, Republic of 7.94% RU Russian Federation 7.52% BR Brazil 5.62% IT Italy 3.37% VN Vietnam 3.07% ID Indonesia 2.88% TW Taiwan 2.85% UA Ukraine 2.82% RO Romania 2.64% FR France 2.25%.7. Vietnam 3.07%.8. Indonésie 2.88%.9. Taiwan 2.85% 10. Ukraine 2.82% 11. Roumanie 2.64% 12. France 2.25% Percent of all spam Source: SophosLabs Répartition du spam par continent Asia Asie 45.04% Europe 26.25% North Amérique America du Nord 14.56% 14.56% South Amérique America du Sud 10.74% 10.74% Africa Afrique 2.79% Oceania/Australia Oceanie/Australie 0.63% Antarctica Antarctique 0.00% Percent Pourcentage of all de spam spam Source: SophosLabs Les origines du spam Le premier message de spam a fait son apparition en mai Expédié par la société informatique DEC à 600 utilisateurs d'arpanet, il vantait les mérites d'un nouvel ordinateur et système d'exploitation DEC doté du support ARPANET. Le spam moderne est plus qu'un simple inconvénient. Il peut inciter à l'achat de faux produits ou distribuer des virus, chevaux de Troie et autres malwares. La vaste majorité des messages de spam sont distribués via des botnets : des réseaux d'ordinateurs piratés connectés à Internet. Stratégies de protection contre le spam et le spearphishing Un logiciel anti-spam est essentiel pour la capture du spam de type courant. Le spearphishing, en revanche, est beaucoup plus difficile à détecter. Il est utile de limiter l'étendue des informations personnelles que vous partagez en ligne, notamment sur les réseaux sociaux. Rapport Sophos 2012 sur les menaces à la sécurité 9

14 Menaces Web Les cybercriminels lancent constamment des attaques destinées à passer outre vos défenses digitales et dérober vos données sensibles. Il n'existe aucun portail Web qui soit à l'abri de la menace ou du danger. En savoir sur la protection web Guide d'achat pour la sécurité des systèmes d'extrémité Selon les SophosLabs, plus de sites Web sont infectés par jour, 80% d'entre eux étant des sites légitimes. 85% de tous les malwares tels que les virus, vers, spywares, adware et Chevaux de Troie sont transmis par le Web 11, principalement par téléchargement passif. Le malware le plus courant du genre en 2011 était Blackhole. Le panorama des menaces Web Voici quelques exemples de nouvelles techniques employées par les cybercriminels pour distribuer les malwares sur le Web : L'optimisation de moteur de recherche ou Blackhat SEO fait apparaître les pages infectées en tête des résultats de recherche. Des techniques d'ingénierie sociale telles que le clic-jacking font cliquer les utilisateurs sur des pages d'apparence inoffensives. Les sites de spearphishing clonent les pages Web d'institutions légitimes, telles que des organismes bancaires, dans le but de détourner des identifiants de connexion. Le malvertising consiste à intégrer des malwares dans des annonces diffusées en masse sur des sites légitimes à haute fréquentation. Les sites légitimes infectés hébergent des malwares intégrés qui se propagent sur les ordinateurs de ceux qui les fréquentent. Les téléchargements passifs exploitent les vulnérabilités logicielles du navigateur. Une simple visite sur une page Web suffit à installer le malware. Le code malveillant installe généralement des spywares ou malwares en exploitant les vulnérabilités connues du navigateur ou des plug-ins associés. Ces menaces incluent : Les faux antivirus, qui détournent des fonds aux personnes qui en sont victimes. Des enregistreurs de touches, qui capturent les informations personnelles et les mots de passe de l'utilisateur dans le but d usurper son identité. Des botnets, qui détournent le système, lui faisant distribuer du spam ou des malwares, ou héberger des contenus illégaux. 10

15 Anatomie d'une attaque : Téléchargements passifs et Blackhole Le téléchargement passif existe depuis des années. Ce type d'attaque exploite les failles non corrigées des navigateurs Web, des plug-ins du navigateur, des applications ou du système d'exploitation. Les pirates peuvent soit inciter les utilisateurs à se rendre sur des sites malveillants ou héberger des malwares sur des sites légitimes piratés. Parce que les sites légitimes sont considérés comme fiables et attirent beaucoup de trafic, leur efficacité en termes de distribution de malwares est incomparable. Le malware Blackhole a fait parler de lui récemment. Il est vendu aux cybercriminels dans un kit de crimeware professionnel doté de fonctions d'administration Web. Blackhole offre des techniques sophistiquées de génération de code malveillant. Il utilise des techniques de polymorphisme côté serveur très agressives et de scripts extrêmement camouflés pour lui permettre d'échapper à la détection. Ces techniques font de Blackhole un malware particulièrement redoutable. Comment fonctionne Blackhole? Blackhole distribue principalement les malwares au travers de sites piratés ou de spam qui redirigent vers un site infecté. De nombreuses vagues d'infections de sites légitimes ont eu lieu cette année. Certains cybercriminels abusent de services d'hébergement gratuits pour mettre en place de nouveaux sites destinés exclusivement à héberger Blackhole. Tout comme le kit Blackhole, le code injecté dans les sites légitimes est hautement camouflé et polymorphe, ce qui le rend difficile à détecter. Les charges virales typiques observées sur les sites qui exploitent Blackhole incluent : Des malwares de type Bot tels que Zbot (aussi connu sous le nom de Zeus) Des droppers (tels que les rootkits TDL et ZeroAccess) De faux antivirus Les malwares contenus sur ces sites ciblent de manière générale les vulnérabilités Java, Flash et PDF. Les SophosLabs ont observé de nouvelles attaques de composants PDF, Flash, Java et JavaScript tous les jours au cours des derniers mois de l'année Nous avons constaté une forte hausse du nombre de fichiers Java malveillants, provenant presque tous de sites d'exploits tels que Blackhole. L'ingéniosité des kits de crimeware tels que Blackhole est qu'ils se mettent à jour à mesure que de nouvelles vulnérabilités sont découvertes. Cependant, de nombreux ordinateurs continuent à être infectés via d'anciennes failles Java qui n'ont pas été corrigées en temps et en heure. Le système en place pour corriger les plug-ins et les applications telles que Java n'est pas aussi sophistiqué que Patch Tuesday, le processus mensuel de Microsoft. En savoir plus sur les menaces web Fraser Howard, chercheur principal des SophosLabs, explique les vulnérabilités Web Rapport Sophos 2012 sur les menaces à la sécurité 11

16 Menaces Web Coup d'oeil sur les statistiques : méthodes de propagation des menaces Web En 2011, les méthodes de propagation des malwares sur le Web ont radicalement changé. Le volume de faux antivirus a baissé (seulement 5,5 % de détections pendant le dernier semestre), et celui des téléchargements passifs sur des sites d'exploits tels que Blackhole a augmenté. Environ 10% des détections sont des sites d'exploits, dont environ deux tiers sont des sites Blackhole. Au cours du deuxième semestre, 67% des détections provenaient de redirections sur des sites légitimes piratés. Environ la moitié d'entre eux étaient des infectés par Blackhole. Méthodes de propagation des menaces Stratégies de protection contre Blackhole Nous avons pu obtenir une bonne visibilité des endroits où sont hébergés les sites exploitant Blackhole grâce aux données recueillies auprès de nos clients et partenaires. Nous nous livrons à un processus de suivi continu, de contrôle et de mise sur liste noire des sites infectés. En raison de la nature évolutive de la menace (le code est polymorphique et les sites d'exploits changent d'url) il est important de se munir de plusieurs niveaux de protection. Nous ne détectons pas seulement la charge virale du malware, nous nous efforçons aussi de couvrir les sites Blackhole à tous les niveaux possibles en détectant : le JavaScript utilisé sur la page principale de l'exploit (Mal/ExpJS-N) les composants de l'exploit Java (plusieurs détections) les composants de l'exploit Flash (Troj/SWFExp-AI) les composants de l'exploit PDF (Troj/PDFEX-ET) En savoir plus sur la protection web Guide d'achat 2012 pour la protection Web Essayez l'appliance Web virtuelle Sophos Effectuez un essai gratuit Redirection (Blackhole) 31% Redirection (sans Blackhole) 36% Charge virale (sauf faux antivirus) 9 % Site infecté (Blackhole) 7% Site infecté (sans Blackhole) 3% Faux antivirus 5,5 % Infection de moteur de recherche 3% Autre 5.5% Pourcentage de détections de malwares (juillet à décembre 2011) Source : SophosLabs 12

17 Protection des réseaux grâce à des passerelles sécurisées Les passerelles du réseau sont rudement mises à l'épreuve dans les domaines de l'éducation et de la santé, et parmi les nombreuses organisations qui ont besoin d'établir des connexions sécurisées entre la maison mère, les succursales et les centres de données. Les jeunes communiquant de plus en plus via les réseaux sociaux tels que Facebook et Twitter, il est important que les administrateurs dans les milieux scolaires trouvent le juste milieu entre ce qui est acceptable et ce qui ne l'est pas. Les technologies destinées à protéger les réseaux peuvent aider les écoles à autoriser un accès approprié à ces sites. Grâce à la protection des passerelles, les écoles peuvent bloquer l'accès aux sites de réseaux sociaux tout en autorisant l'accès aux membres du personnel. Elles peuvent aussi limiter l'accès à certains horaires, par exemple avant ou après les heures de cours. Des technologies de filtrage peuvent bloquer l'accès aux URL malveillantes qui pourraient être contenues sur les sites de réseaux sociaux. La technologie change également le milieu de la santé. L'informatique peut permettre aux organisations du domaine de la santé de fournir des soins à distance, des services d'éducation des patients et des professionnels, et d'administration. 12 Ces services efficaces créent un lien entre les docteurs et les patients, améliorent l'accès et réduisent les coûts. Les docteurs peuvent effectuer des visites virtuelles et les spécialistes peuvent consulter les équipes médicales locales sur l'état de santé du patient. Cependant, les règlementations en matière de protection de la vie privée telles que HIPAA exigent que chaque organisation protège ses connexions. Les services de télésanté fiables offrent des opportunités sans précédent pour les communautés rurales ou mal desservies. Les technologies pour passerelles protègent les connexions à distance, permettant un accès sécurisé aux patients et aux médecins où qu'ils soient. En savoir sur la sécurité des réseaux Simplifier la sécurité des succursales Essayez Astaro Secure Gateway Effectuez un essai gratuit Stratégies de protection pour les réseaux Une gestion unifiée de la protection et une passerelle robuste, un pare-feu et la prévention des intrusions sont à la clé d'une sécurité complète du réseau. Ceci évite d'avoir à déployer et administrer de multiples solutions pour sécuriser le réseau. Rapport Sophos 2012 sur les menaces à la sécurité 13

18 Menaces contre les systèmes et logiciels Microsoft Windows est depuis longtemps la cible principale des pirates. Les systèmes d'exploitation modernes sont plus sûrs et corrigés plus systématiquement que la plupart des applications qu'ils exécutent. C'est pourquoi de nos jours, les pirates exploitent le plus souvent les vulnérabilités des applications. Systèmes d'exploitation : l'émergence des malwares Mac En 2011, l'émergence des malwares Mac a attiré beaucoup d'attention. Il est évident que le problème des malwares Windows est bien supérieur à la menace sur Mac, mais les évènements de 2011 ont rappelé aux utilisateurs Mac qu'ils devaient être prudents. Les cybercriminels utilisent désormais les mêmes techniques sur Mac que sur PC, à savoir l'infection par SEO et les faux antivirus tels que MacDefender, Mac Security, MacProtector et MacGuard, qui sont tous apparus dans le courant de l'année. Malwares Mac Préhistoire: Elk Cloner 1987 nvir 1988 HyperCard 1990 MDEF 1991 Mélodies folkloriques allemandes Le système d'exploitation Mac OS X 10.7 d'apple, surnommé Lion, prétend protéger l'utilisateur contre les malwares. Cependant, il ne détecte qu'un nombre limité de téléchargements malveillants issus de 10 différents types de malwares Mac. Il est préférable d'exécuter un antivirus Mac supplémentaire Renepo et Amphimix 2006 Leap, le premier virus pour Mac OS X 2007 OpenOffice BadBunny et le malware financier RSPlug 2008 Faux antivirus, portes dérobées et Jahlav 2009 Apple lance une protection antivirus rudimentaire En savoir sur les systèmes d'exploitation Richard Wang des SophosLabs explique les vulnérabilitiés des systèmes d'exploitation Trois étapes simples pour une gestion plus efficace des correctifs Stratégies de protection pour les systèmes d'exploitation La façon la plus simple de réduire les infections par malwares est d'installer les correctifs dès réception de manière à couvrir les vulnérabilités les plus récentes. Nos solutions pour systèmes d'extrémité et notre protection antivirus pour Windows vous permettront de protéger votre entreprise. Téléchargez gratuitement notre Antivirus pour Mac Edition familiale Virus macro Word 1996 Virus Laroux pour Excel 1996 AutoStart 9805 et Sevendust Source: NakedSecurity.sophos.com 2010 Portes dérobées, attaques multi-plates-formes et antivirus gratuit 2011 Faux antivirus MacDefender et techniques d'infection SEO 14

19 Correctifs logiciels : au-delà de Microsoft Windows est peut-être le système d'exploitation le plus ciblé, mais les vecteurs d'attaque les plus utilisés ont été les PDF ou Flash. 13 Malgré les mises à jours régulières de Microsoft visant à corriger les vulnérabilités de son système d'exploitation, ce sont les systèmes de distribution de contenu qui sont le véritable talon d'achille de tout système. Les chercheurs en sécurité informatique identifient constamment des vulnérabilités. Malheureusement, les éditeurs de logiciels doivent souvent rattraper les cybercriminels en matière d'attaques du jour zéro, qui ne sont autres que des failles jusqu'alors inconnues. Et bien que Microsoft Office et Internet Explorer soient le plus souvent piratés en raison de leur immense popularité, d'autres logiciels courants tels que les problèmes Adobe et Mac sont des cibles fréquentes. Pour pallier à ces menaces, Adobe a adopté le programme de Patch Tuesday de Microsoft pour fournir des mises à jour de sécurité plus fréquentes. Début décembre, Adobe a averti ses utilisateurs qu'une nouvelle vulnérabilité du jour zéro d'adobe Reader était ciblée. En décembre 2011, Adobe travaillait sur la correction d'une vulnérabilité d'adobe Reader 9 en prévision du lancement de Reader X en janvier Les experts en sécurité suggèrent depuis longtemps aux éditeurs de logiciels d'intégrer des technologies de protection dans le processus de développement. Ceci impliquerait entre autres un contrôle continu des erreurs de code durant toutes les étapes du développement, plutôt qu'une vérification hâtive juste avant le lancement du produit sur le marché. L'institut National des Standards et de la Technologie américain a récemment élargi sa base de données des vulnérabilités logicielles pour aider les développeurs à éviter d'inclure des bogues dans leur code. Malheureusement les vulnérabilités de base telles que l'injection SQL et le cross-site scripting constituent toujours la majorité des failles dans les applications Web. Les hacktivistes du groupe Anonymous ont exploité ce type de vulnérabilités dans plusieurs attaques de sites reconnus en En savoir sur les menaces logicielles Réduction des risques grâce au contrôle des applications Stratégies de protection pour logiciels La meilleure façon de se protéger est de mettre à jour les logiciels, d'installer les correctifs régulièrement et d'exécuter les programmes antivirus. Il semble également prudent de contrôler ce que vos utilisateurs installent au moyen d'une technologie de contrôle des applications de manière à réduire la portée des menaces. Moins il y a de programmes et de plug-ins, moins le risque est élevé. Pour rester au courant des dernières vulnérabilités, visitez régulièrement les sites d'éditeurs de logiciels. Visitez notre Centre d'analyse des menaces pour vous informer des dernières menaces. Rapport Sophos 2012 sur les menaces à la sécurité 15

20 Menaces contre les systèmes et logiciels Périphériques amovibles : prévenir la fuite des données Les périphériques amovibles tels que les clés USB, les CD et les DVD sont des objets si courants que l'on oublie facilement qu ils peuvent présenter des risques. Pourtant, un certain nombre de fuites de données importantes ont eu lieu à cause de clés USB volées ou perdues. Au cours d'une expérience, notre bureau Australien a découvert que les utilisateurs de clés USB prenaient très peu de précautions de sécurité. Ayant acheté 50 clés USB aux enchères des objets trouvés à Sydney, ils ont découvert que 66% d'entre elles étaient infectées par des malwares. Les chercheurs ont également pu recueillir pas mal d'informations se rapportant aux anciens propriétaires de ces périphériques, ainsi que leur famille, amis et collègues. Aucun d'entre eux n'avait chiffré les données pour les protéger contre l'intrusion de personnes non autorisées. Heureusement, lors d'une mise à jour datant de février 2011, Microsoft a pour ainsi dire mis fin aux exploits de la fonctionnalité Windows Autorun pour les périphériques amovibles. Pour rappel, Autorun est la technologie qui permet à un programme de démarrer automatiquement lorsque l'on insère un CD ou une clé USB dans le PC. Un grand nombre de malwares, tels que l'illustre ver Conficker, ont exploité la fonctionnalité Autorun pour infecter des ordinateurs au moyen de clés USB. En mai 2011, Microsoft a rapporté une réduction de 1,3 million des infections autorun sur Windows Vista et XP, soit une baisse de 68 % comparé à Stratégies de protection pour médias amovibles Il est essentiel de chiffrer les données personnelles et professionnelles avant de les transférer sur clé USB, pour éviter les fuites de données. Il est également préférable que leur usage soit restreint en milieu professionnel. Certaines entreprises souhaiteront peut-être interdire aux employés d'utiliser des périphériques provenant de leur domicile. Il est important dans tous les cas de scanner les périphériques régulièrement à la recherche de malwares et de données sensibles. 6 conseils pour limiter les risques de fuites des données. 1. Installez tous les derniers correctifs sur votre ordinateur, pas seulement ceux de Microsoft mais aussi Adobe, Firefox, etc. 2. Supprimez immédiatement les courriels dotés de contenu ou de pièces jointes suspectes. Affichez la messagerie en texte clair et désactivez JavaScript, Flash et les fonctionnalités de prévisualisation. 3. Procédez à une gestion intelligente de votre dossier Téléchargements à la fin de chaque séance. Supprimez ce dont vous n'avez plus besoin et sauvegardez le reste dans un endroit approprié. 4. Désactivez Flash Java et JavaScript sur votre navigateur Web et visionneur de PDF, sauf pour les documents qui en ont vraiment besoin. 5. Procurez-vous un logiciel de sécurité récent qui inclut non seulement un antivirus et un pare-feu, mais aussi des services HIPS et Web. Et si le logiciel ralentit la performance de l'ordinateur, ne désactivez pas le contrôle d'accès, changez plutôt de logiciel. 6. Videz périodiquement les caches de la messagerie et du navigateur. Certains programmes vous donnent l'option de vider les caches en reconstruisant les archives ou en mettant à jour la base de données. Les navigateurs Web vous permettent de vider les caches manuellement ou automatiquement, chaque fois que vous quittez le navigateur. 16