Rapport de McAfee Labs sur le paysage des menaces Août 214
Heartbleed est l'incident de sécurité majeur depuis la compromission de données qui a frappé l'entreprise Target en 213. À propos de McAfee Labs McAfee Labs est l'une des principales sources de référence à l'échelle mondiale en matière d'études et de renseignements sur les menaces, et les orientations stratégiques qu'il propose dans le domaine de la cybersécurité font autorité. Grâce à des données sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseau) recueillies à partir de millions de sondes, McAfee Labs fournit des renseignements en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques. www.mcafee.com/fr/mcafee-labs.aspx Suivre McAfee Labs Introduction Pour la plupart d'entre nous, l'été est l'occasion de se détendre et de profiter des plaisirs de la vie. En revanche, pour les criminels, ce n'est qu'une saison comme une autre, tout aussi riche en opportunités de vol. Au début de l'été, les yeux braqués sur la Coupe du Monde de la FIFA, la division Consumer de McAfee a attiré l'attention sur les risques présentés par les sites web associés aux stars du ballon rond dans son classement des «cartons rouges» McAfee Red Card Club. Ces sites, qui attirent les supporters trop confiants, infectent automatiquement leurs systèmes ou les incitent à divulguer des informations personnelles. Cet exemple montre clairement comment, d'un seul clic de souris, les plaisirs de l'été peuvent tourner au cauchemar. Faire part de vos impressions Ce trimestre, c'est la vulnérabilité Heartbleed qui est au cœur de notre rapport. Comme la plupart des professionnels de la sécurité le savent, Heartbleed est l'incident de sécurité majeur depuis la compromission de données qui a frappé l'entreprise Target en 213. L'équipe de McAfee Labs a travaillé sans relâche pour comprendre cette vulnérabilité et faire en sorte que les technologies McAfee concernées puissent détecter et empêcher les fuites de données résultant de cette faille. Malheureusement, les cybercriminels continuent de se remplir les poches car trop de sites web y sont encore vulnérables. Cette édition du rapport s'intéresse également aux résultats du quiz de McAfee sur le phishing, qui tente de déterminer la capacité des utilisateurs en entreprise à identifier les e-mails de phishing. Enfin, elle fait le point sur la situation au lendemain de l'opération Tovar, qui a conduit au démantèlement de l'infrastructure de CryptoLocker et de Gameover Zeus. Cette initiative internationale, menée par les services de police de plusieurs pays, a bénéficié de la collaboration d'experts de la sécurité informatique, dont McAfee. C'était une belle victoire qui fut malheureusement de courte durée comme l'on pouvait s'y attendre. Dresser un tableau précis et pertinent des menaces informatiques est un art qui nécessite un renouvellement constant. Les lecteurs qui suivent depuis longtemps les rapports de McAfee Labs sur le paysage des menaces n'ont pas manqué de constater l'évolution dans les thèmes abordés et la présentation des informations. Pour nous aider à améliorer encore les prochaines éditions, nous aimerions connaître votre opinion. Si vous souhaitez nous faire part de vos impressions, cliquez ici pour participer à une petite enquête sur nos rapports. Elle ne vous prendra pas plus de cinq minutes. Vincent Weafer, Vice-Président Directeur, McAfee Labs Rapport de McAfee Labs sur le paysage des menaces Août 214 2
Sommaire Rapport de McAfee Labs sur le paysage des menaces Août 214 Ce rapport a été préparé et rédigé par : Christiaan Beek Benjamin Cruz Daniel Flaherty Charles McFarland Francisca Moreno Daisuke Nakajima François Paget Eric Peterson Craig Schmugar Rick Simon Dan Sommer Bing Sun James Walter Adam Wosotowsky Chong Xu Résumé 4 Points marquants L'après-Heartbleed : une opportunité de plus pour les cybercriminels 6 Des utilisateurs d'entreprise trop facilement abusés par les e-mails de phishing 9 Opération Tovar : un succès de courte durée 15 Statistiques sur les menaces Logiciels malveillants sur mobiles 19 Logiciels malveillants 2 Menaces Internet 25 Menaces propagées par la messagerie 27 Menaces réseau 28
Résumé L'après-Heartbleed : une opportunité de plus pour les cybercriminels S'il est bien un incident de sécurité qui a marqué les esprits au deuxième trimestre, c'est la divulgation publique de la vulnérabilité «Heartbleed», présente dans plusieurs versions de l'implémentation OpenSSL des protocoles de sécurité SSL et TLS. La correction de cette faille, à laquelle tous les services informatiques ont été confrontés, consciemment ou non, risque de coûter la bagatelle de plusieurs centaines de millions de dollars. Selon les estimations, Heartbleed a touché près de 17 % des sites web utilisant TLS dans le monde, c'est-à-dire ceux qui exigent une authentification à l'aide d'un nom d'utilisateur et d'un mot de passe. Cela représente plus de 6 sites. Les cybercriminels utilisent des listes publiques de sites web vulnérables à Heartbleed pour lancer des attaques ciblées. Dans ce Rapport sur le paysage des menaces, McAfee Labs s'intéresse à la façon dont les pirates informatiques exploitent les listes de sites web dépourvus de correctif pour Heartbleed pour s'emparer d'informations sensibles. Au départ, les listes répertoriant les sites web vulnérables à cette faille avaient pour but d'aider les utilisateurs à vérifier qu'ils ne courraient pas de risque en s'authentifiant sur un site, mais elles sont rapidement devenues une aubaine pour les cybercriminels. Un cybercriminel entreprenant a même fait le gros du travail pour ses congénères en extrayant les données des sites toujours vulnérables et en les vendant sur le marché noir. À l'heure de la rédaction de ce rapport, plus de 3 sites ne disposent toujours pas de correctif et restent exposés à ce type d'activités criminelles, selon l'une de nos sources. Le quiz de McAfee sur le phishing révèle que 8 % des participants se sont laissés berner par au moins un e-mail de phishing sur sept. Avant l'opération de démantèlement Tovar, McAfee Labs a identifié un réseau criminel ayant réussi à amasser 255 dollars américains de rançon en un seul mois. Des utilisateurs d'entreprise trop facilement abusés par les e-mails de phishing Ce rapport se penche également sur cette tactique hautement efficace qu'est le phishing. Les attaques par phishing exploitent ce qui constitue souvent le «maillon faible» des cyberdéfenses d'une entreprise, à savoir le comportement humain, et connaissent toujours un franc succès. McAfee a voulu tester la capacité des utilisateurs en entreprise à identifier les tentatives de phishing en leur proposant un quiz sur le phishing. Les résultats ont montré que 8 % des participants se sont laissés berner par au moins un e-mail de phishing sur sept. Pire encore, les plus mauvais scores sont à mettre au compte du personnel des services comptables, financiers et des ressources humaines, qui détiennent sans doute quelques-unes des données d'entreprise les plus sensibles. Opération Tovar : un succès de courte durée Enfin, le rapport révèle les suites de l'opération Tovar, une campagne de démantèlement menée conjointement par les services de police de plusieurs pays, en collaboration avec plusieurs acteurs du secteur de la sécurité informatique, dont McAfee. L'Opération Tovar a mis à mal l'infrastructure de Gameover Zeus et de CryptoLocker en prenant le contrôle des domaines appartenant au réseau de communication. Avant le démantèlement, McAfee Labs a identifié un réseau criminel ayant réussi à amasser 255 dollars américains de rançon en un seul mois. Malheureusement, depuis l'opération intervenue début juin, les cybercriminels ont déjà fait des émules. Dans un exemple présenté ici, un service similaire à CryptoLocker est offert pour la modique somme de 3 dollars. Rapport de McAfee Labs sur le paysage des menaces Août 214 4
Points marquants L'après-Heartbleed : une opportunité de plus pour les cybercriminels Des utilisateurs d'entreprise trop facilement abusés par les e-mails de phishing Opération Tovar : un succès de courte durée Faire part de vos impressions
Points marquants L'après-Heartbleed : une opportunité de plus pour les cybercriminels La bibliothèque OpenSSL est un projet à code source libre qui implémente plusieurs versions des protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security). Ces protocoles permettent l'échange de données entre un client et un serveur via des communications chiffrées et sécurisent une grande partie du contenu web, notamment les informations bancaires, les e-mails chiffrés ainsi que d'autres services nécessitant un chiffrement de bout en bout. Ils sont utilisés par de nombreux sites web. Le 7 avril dernier, le public découvrait la vulnérabilité CVE-214-16, qui touche la bibliothèque à code source libre OpenSSL. Elle permet à un pirate informatique d'accéder aux données en mémoire en utilisant une «pulsation» (heartbeat) malformée dans le protocole cryptographique TLS (Transport Layer Security). Compte tenu de sa prévalence, beaucoup la considèrent comme la pire vulnérabilité jamais découverte, et elle a été rapidement baptisée «Heartbleed» (ou «cœur ensanglanté»). En raison de la popularité de l'implémentation OpenSSL sur les serveurs commerciaux, Heartbleed a touché une portion considérable d'internet puisque l'on estime à 17 % le nombre de sites web utilisant TLS vulnérables. Cette estimation inclut quelques-uns des sites les populaires et d'autres sites moins connus. Suite à la divulgation, McAfee Labs a constaté un pic d'activité au niveau des données et des ressources partagées au sein de la communauté des experts en sécurité. En quelques jours, une pléthore d'outils et de ressources gratuits était proposée par les éditeurs de solutions de sécurité, les professionnels de la sécurité, le milieu universitaire et les informaticiens amateurs. En tant que secteur, nous avons été témoins de l'impact direct d'une collaboration profitable à tous et de la possibilité qu'elle offrait de sécuriser rapidement les systèmes affectés. Toutefois, en dépit de l'arsenal d'outils disponibles, il reste encore de nombreux sites web, équipements et applications sans correctifs et très certainement voués à être victimes d'une attaque. La pulsation TLS fait en sorte que le serveur et le client puissent communiquer entre eux. Le client envoie des données, par exemple «hello», au serveur. Le comportement attendu du serveur est de renvoyer les mêmes données. L'auteur d'une attaque peut cependant définir arbitrairement la taille des données de réponse pour que le serveur renvoie bien plus que les données qu'il a reçues et divulgue ainsi des données en mémoire, parmi lesquelles peuvent figurer des données sensibles, par exemple des clés de chiffrement privées. 25 2 15 1 5 Nombre total d'analyses de la vulnérabilité Heartbleed à l'aide de l'outil en ligne McAfee Stinger 14/4 15/4 16/4 17/4 18/4 L'utilisation de l'outil d'analyse gratuit McAfee Stinger montre un déclin rapide de l'intérêt suscité par la vulnérabilité Heartbleed. Lorsqu'une vulnérabilité comme Heartbleed est mise au jour, il est impératif que les professionnels de l'informatique et les chercheurs en sécurité disposent d'outils qui leur permettent non seulement de tester leurs propres systèmes mais aussi de comprendre toutes les facettes de cette vulnérabilité. Les exemples d'outils de test de Heartbleed sont légion : plusieurs dizaines d'outils d'analyse en ligne ont été développés peu de temps après la divulgation, sans oublier quelques échantillons de code de scripts Python et Ruby, des scripts NMAP (Network Mapper), des plug-ins de test d'intrusion, et bien d'autres encore. Malheureusement, il n'y a pas que des spécialistes de la sécurité intègres. Nombreux sont ceux qui voudraient tirer parti de ces outils à des fins malveillantes ou pour en créer d'autres avec des intentions moins nobles. Rapport de McAfee Labs sur le paysage des menaces Août 214 6
Points marquants Parmi les nombreux outils de détection de Heartbleed mis à la disposition des professionnels de la sécurité, dont celui développé par McAfee, figure un utilitaire aux fonctionnalités très complètes appelé heartleech, disponible gratuitement sur GitHub. Il vérifie non seulement la vulnérabilité à Heartbleed mais stocke également les données compromises en cas de fuite et les analyse pour rechercher les clés privées. En outre, heartleech a été écrit pour contourner certaines fonctions de détection des intrusions afin que les administrateurs réseau puissent d'une part déterminer si leurs systèmes sont vulnérables et, d'autre part, extraire les clés sensibles potentiellement exposées par les fuites de données. Ces informations sont extrêmement précieuses tant pour les experts en sécurité bien intentionnés que pour ceux qui mettent à profit leurs compétences à des fins peu louables. Un autre outil développé à des fins moins nobles est Project Un1crn. Il aurait été apparemment distribué sur TOR, un réseau du Web invisible, le 12 mai et sur Internet le 15 mai. Cet outil a ceci de particulier qu'il permet de rechercher les adresses IP publiques vulnérables. Bien que la vaste majorité des principaux sites Internet dans le monde disposent à présent d'un correctif pour Heartbleed, un nombre important de propriétaires de petits sites n'ont pas les compétences pour l'appliquer ou ignorent tout simplement que leur site est vulnérable. Project Un1crn collecte ces cibles de la même façon qu'un cambrioleur pourrait rédiger une liste des habitations dépourvues de système de sécurité. McAfee Labs s'est livré à cette recherche et a identifié 2 44 cibles uniques et potentiellement vulnérables, tandis qu'un analyste du secteur avance, lui, le chiffre de 3 sites 1. Cette estimation ne tient pas compte des ports non standard ni des équipements IP. L'outil Project Un1crn permet à quiconque de rechercher des serveurs vulnérables à Heartbleed. Rapport de McAfee Labs sur le paysage des menaces Août 214 7
Points marquants Des cybercriminels amateurs pourraient utiliser des outils tels que Project Un1crn pour acheter des données compromises au lieu de les extraire eux-mêmes. Pour la modique somme de,1 bitcoin, soit environ 6 dollars au moment de la rédaction de ce rapport, ils peuvent acheter des données soustraites par Heartbleed. Un cybercriminel un peu plus sophistiqué peut utiliser l'outil comme une liste de cibles personnelle afin de s'en prendre uniquement aux sites web les plus susceptibles d'être vulnérables. Si ce dernier est plus dangereux en raison de son aptitude à mettre au point une attaque, il faut savoir qu'un pirate à peine plus talentueux n'aurait aucune difficulté à configurer un script automatisé capable de cibler toutes les adresses IP vulnérables connues. En bref, tout site web non corrigé est voué à être attaqué s'il est indexé par des outils tels que Project Un1crn. Comme cet outil est disponible sur le Web invisible, tout porte à croire qu'il restera en ligne pendant un certain temps. Un acheteur peut acquérir des données compromises par Heartbleed en transférant des bitcoins vers un portefeuille de Project Un1crn. Bien qu'un correctif pour Heartbleed ait été appliqué à la plupart des sites web à trafic élevé, de nombreux équipements IP n'ont pas bénéficié d'une gestion de la sécurité aussi efficace que ces sites très populaires. On a constaté, par exemple, que des caméras de sécurité étaient vulnérables à Heartbleed et qu'une fois les correctifs mis au point, ils n'ont pas été appliqués systématiquement. Un périphérique de stockage réseau (NAS) IP a également été identifié comme vulnérable et, bien qu'un correctif de sécurité ait été publié pour celui-ci peu de temps après la divulgation de Heartbleed, 1 semaines plus tard, McAfee Labs a identifié un système NAS qui n'en avait pas bénéficié. Le propriétaire a même émis un nouveau certificat le 2 mai, soit 43 jours après la divulgation de la faille, alors que le système NAS utilisait toujours une version vulnérable d'openssl. Un site a mis à jour son certificat bien longtemps après la découverte de Heartbleed et est malgré tout resté vulnérable. À quel point serait-il difficile pour un pirate de passer d'une attaque manuelle des cibles vulnérables à Heartbleed à une attaque complètement automatisée? Cela n'a rien de compliqué, à tel point que cela a probablement déjà été fait. En fait, un programmeur de niveau intermédiaire pourrait développer un tel système en moins d'un jour. À l'instar des professionnels de la sécurité, les cybercriminels ont accès à une multitude d'outils commerciaux. Avec des outils simples, quelques lignes de code et quelques tasses de café, il est possible de monter un système automatisé qui cible uniquement les machines vulnérables et extrait les clés privées sensibles. Quelles leçons tirer de cet incident? Le secteur de la sécurité devrait-il cultiver davantage le secret? McAfee et les autres acteurs du secteur devraient-ils dissimuler les vulnérabilités, les piratages et d'autres renseignements? Absolument pas! Heartbleed a prouvé que le secteur de la sécurité peut protéger les réseaux internes et Internet lui même en partageant des informations et des ressources. Grâce à cela, il peut se préparer à la prochaine vulnérabilité majeure. Dans l'intervalle, les utilisateurs doivent veiller à respecter les meilleures pratiques en matière de sécurité pour tous les services qu'ils utilisent. Rapport de McAfee Labs sur le paysage des menaces Août 214 8
Points marquants Des utilisateurs d'entreprise trop facilement abusés par les e-mails de phishing Les marques les plus populaires sont souvent imitées pour inciter les destinataires des e-mails à cliquer sur des liens ou à communiquer des informations. Pour en savoir plus sur la détection des e-mails de phishing, cliquez sur les liens suivants : PayPal Amazon ebay Bank of America HSBC Depuis le dernier Rapport sur le paysage des menaces, McAfee Labs a recueilli plus de 25 nouvelles URL de phishing, ce qui représente près d'un million de nouveaux sites depuis l'année dernière. L'analyse des données montre non seulement une augmentation du volume mais aussi une plus grande sophistication des attaques de phishing en circulation. En effet, les pirates n'ont aujourd'hui plus aucune difficulté à obtenir des renseignements sur leurs cibles et à savoir où elles travaillent et quels sont leurs centres d'intérêt. Les diverses formes de média numérique, tout particulièrement les réseaux sociaux, ont accéléré cette tendance. Nos décisions sont généralement basées sur la confiance : L'e-mail émane-t-il de tiers ou d'organisations que nous connaissons et avec lesquels nous sommes en relation? Est-il suffisamment personnalisé pour sembler légitime? Ces deux éléments suffisent généralement à garantir un clic. Examinons les grandes marques utilisées dans les attaques de phishing actuelles. Cliqueriez-vous sur un lien de l'une des sociétés ou institutions suivantes? PayPal Amazon ebay Bank of America HSBC 45 Nouvelles URL de phishing 4 35 3 25 2 15 1 5 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 URL Domaines associés Rapport de McAfee Labs sur le paysage des menaces Août 214 9
Points marquants Une attaque de phishing moderne Le phishing (hameçonnage) est une méthode consistant à acquérir des informations confidentielles au moyen d'e-mails ou de messages instantanés qui semblent provenir de sources légitimes et fiables. Les messages contiennent généralement des pièces jointes malveillantes ou des liens vers des sites web infectés par des logiciels malveillants. Tant le phishing en masse que son redoutable dérivé, le spearphishing, restent souvent utilisés dans les stratégies d'attaque mises au point par les cybercriminels du monde entier. Pour illustrer la sophistication et l'impact potentiel des attaques par phishing récentes, analysons un échantillon actuellement en circulation. Le spearphishing (harponnage) est une méthode d'attaque visant directement un individu ou une organisation. En général, un message de spearphishing contient des informations personnalisées qui peuvent inciter le destinataire à croire qu'il émane d'une source légitime. Cet e-mail de phishing semble provenir du domaine amazon.com. Ce message de phishing a recours à une tactique classique : usurper une marque connue et attendre un clic. L'e-mail est présenté comme un message de confirmation de commande et son contenu reste simple et court, à l'instar des confirmations de commande envoyées par des sociétés légitimes. La tromperie repose sur deux éléments clés : l'adresse e-mail usurpée avec un domaine @amazon.com et des images chargées de façon dynamique à partir d'un domaine amazon.com usurpé. En l'espace d'une semaine, nous avons constaté que 21 adresses IP d'envoi uniques avaient distribué ce message partout dans le monde. Cela dit, nous avons choisi cet exemple non pour les tactiques d'ingénierie sociale qu'il emploie assez répandues aujourd'hui et encore moins convaincantes qu'une attaque par spearphishing bien conçue mais pour sa charge active malveillante. En effet, lorsqu'un utilisateur clique sur la «facture» jointe, il déclenche une série d'événements que la plupart des systèmes de protection pourraient difficilement bloquer. À partir de ce clic, le logiciel malveillant effectue une série de contrôles avant de s'exécuter. Au départ en «sommeil», il détermine si le disque local est une machine virtuelle, ce qui peut indiquer qu'il s'agit d'un environnement restreint (sandbox). Si c'est le cas, le logiciel malveillant reste inactif. Une autre caractéristique prouve son degré de sophistication : son code lui-même est capable de s'automodifier. Grâce à une rétroconception, McAfee Labs a découvert que le logiciel malveillant pouvait déchiffrer son propre code en temps réel et créer des chevauchements d'instructions pour contrecarrer l'analyse statique effectuée par les produits de sécurité. L'équipe a également repéré des instructions de saut, visant à éviter la détection au moyen de signatures antivirus. Rapport de McAfee Labs sur le paysage des menaces Août 214 1
Points marquants Si ces vérifications (et d'autres non mentionnées ici) réussissent, le logiciel malveillant se réactive et se décompresse via plusieurs couches de chiffrement et de compression pour permettre au véritable code malveillant de s'exécuter. En s'injectant dans une instance du processus Windows svchost.exe, il recherche ensuite une connexion Internet active en tentant d'accéder au site msn.com. Si la tentative échoue, le logiciel malveillant reste inactif. S'il réussit à établir une connexion, il déchiffre plusieurs noms de domaine de serveurs de contrôle à partir de son propre code. Code binaire chiffré Code binaire déchiffré, révélant l'un des trois serveurs de contrôle Suivre McAfee Labs Rapport de McAfee Labs sur le paysage des menaces Août 214 11
Points marquants Pour en savoir plus sur la détection des e-mails de phishing prétendument envoyés par amazon.com, cliquez ici. L'étape suivante consiste à télécharger d'autres logiciels malveillants à partir des domaines de contrôle déchiffrés. Les serveurs de contrôle vérifient si les téléchargements réussissent puis le logiciel malveillant initial reprend les rênes en installant des mécanismes de démarrage automatique, par exemple des fichiers.ink et des entrées de Registre pour les nouveaux logiciels malveillants. D'après nos observations, ces derniers ont pris la forme d'un voleur de mots de passe et d'un robot spammeur. Imaginez les données qui pourraient être dérobées une fois les informations de connexion compromises. La nouvelle machine hôte infectée continue ensuite la campagne en envoyant des messages de confirmation de commande amazon.com identiques pour tromper les destinataires trop confiants suivants. Le phishing continue d'être une arme redoutable. Même si la technologie peut faciliter la détection des logiciels malveillants et des expéditeurs mal intentionnés, c'est au destinataire de l'e-mail qu'il revient de repérer les fraudes. Envie de tester votre aptitude à détecter les e-mails de phishing? Répondez au quiz de McAfee sur le phishing. McAfee a évalué la capacité des utilisateurs en entreprise à identifier les tentatives de phishing à l'aide de son quiz sur le phishing, portant sur dix messages présentés dans des clients de messagerie émulés. Les répondants sont invités à identifier chaque exemple de message comme un e-mail légitime ou un e-mail de phishing, comme ils le feraient dans leur propre boîte de réception. Chaque exemple contient des fonctionnalités actives, avec dissimulation des informations d'identification personnelle et du contenu malveillant dans les cas nécessaires. Exemple de question du quiz McAfee sur le phishing, présenté dans un client mobile Android Rapport de McAfee Labs sur le paysage des menaces Août 214 12
Points marquants Parmi les 16 utilisateurs ayant participé au test, 8 % se sont laissés tromper par un e-mail de phishing au moins. S'il est vrai que les répondants n'étaient pas dans leur propre environnement de messagerie, ce chiffre laisse perplexe. Il suffit qu'un seul logiciel malveillant passe entre les mailles du filet et infecte un système vulnérable pour que toute l'entreprise soit compromise. 8 % des participants au test se sont laissés berner par au moins un e-mail de phishing sur sept. La plus mauvaise note va aux services comptables, financiers et des ressources humaines. En outre, en nous fondant sur les taux moyens de détection des messages légitimes ou frauduleux par les répondants, nous avons constaté que les services détenant les données les plus sensibles affichaient les plus mauvais scores. Comme l'illustre le graphique suivant, la palme revient aux employés des services comptables, financiers et des ressources humaines, qui sont 4 à 9 % plus nombreux que les autres à ne pas détecter l'arnaque. L'accès aux systèmes de ces services peut ouvrir la porte à une mine d'informations sensibles. Il est clair qu'une sensibilisation à ce type de menaces s'impose pour ces utilisateurs. 7 % Quiz de McAfee sur le phishing : Score moyen par service (pourcentage d'exemples d'e-mail correctement identifiés) 65 % 6 % 55 % 5 % Ressources humaines Comptabilité et Finances Autres Ventes Direction Étudiants Marketing Ingénierie Cadres Consultants Informatique Recherche et développement Résultats du quiz McAfee sur le phishing par service (sélectionné par le répondant) Nous avons également identifié la tactique la plus efficace pour tromper les répondants, à savoir l'utilisation d'adresses e-mail usurpées. Deux de nos exemples d'e-mail avaient recours à cette tactique et les participants ont été incapables de les repérer dans 63 % et 47 % des cas. Suivre McAfee Labs Rapport de McAfee Labs sur le paysage des menaces Août 214 13
Points marquants Le message de phishing le plus convaincant semblait émaner de la société UPS. Les méthodes de dissimulation utilisées étaient classiques mais efficaces. L'adresse d'envoi a été usurpée pour donner l'impression que le message provenait du domaine UPS.com. Plusieurs éléments de la marque UPS figuraient dans le message, dont le logo officiel. Il est toutefois intéressant de noter que l'e-mail ne contenait qu'une seule URL malveillante. La première URL invitait le destinataire à accéder aux informations de suivi de l'expédition et le dirigeait vers le véritable site de suivi des colis de la société UPS. La seconde l'invitait à télécharger une soi-disant facture et ouvrait effectivement un fichier mais qui malheureusement n'était pas hébergé sur le domaine UPS. En réalité, ce lien distribuait la charge active : un logiciel malveillant encapsulé dans une archive.zip. Exemple d'e-mail de phishing du quiz McAfee sur le phishing, présenté dans un client de messagerie Outlook Le phishing a toujours la faveur des cybercriminels et reste très efficace. Cette menace n'est pas facile à neutraliser puisqu'elle exige à la fois des technologies et des filtres comportementaux. Pour offrir aux lecteurs un aperçu de nos meilleures pratiques, nous proposons une courte liste de contrôle afin de faciliter la tâche des professionnels de la sécurité. Pour être neutralisée, cette menace exige la participation de tous. Pour en savoir plus sur la détection des e-mails de phishing prétendument envoyés par UPS, cliquez ici. Contrôle des tentatives de phishing : guide à l'intention des professionnels de la sécurité Activité Élimination des campagnes de phishing en masse grâce au filtrage des e-mails au niveau d'une passerelle sécurisée Implémentation de la vérification de l'identité des expéditeurs pour limiter le risque de confondre les cybercriminels avec des entreprises fiables Détection et élimination des pièces jointes malveillantes grâce à un composant antimalware avancé Analyse des URL contenues dans les e-mails au moment de la réception et à nouveau lors du clic Analyse du trafic web pour détecter les logiciels malveillants lorsque l'e-mail de phishing incite l'utilisateur à cliquer sur divers liens afin qu'il soit infecté Implémentation de la prévention des fuites de données pour empêcher l'exfiltration en cas de compromission ou de saisie utilisateur Sensibilisation des utilisateurs aux meilleures pratiques en matière de détection et de neutralisation des e-mails suspects Technologies clés Réputation des adresses IP d'envoi, des URL, des fichiers et des réseaux, protection antivirus et listes de blocage en temps réel Mise en œuvre des méthodes d'authentification SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance) Réputation des fichiers, protection antivirus, émulation du contenu, sandboxing et analyse du code statique Réputation des URL, protection antivirus, émulation du contenu, sandboxing et analyse du code statique Réputation des URL, protection antivirus, émulation du contenu, sandboxing et analyse du code statique Prévention des fuites de données pour les terminaux, le trafic Internet et le trafic de messagerie Cliquer sur ce lien pour accéder à des conseils pour reconnaître les e-mails de phishing Rapport de McAfee Labs sur le paysage des menaces Août 214 14
Points marquants Opération Tovar : un succès de courte durée L'Opération Tovar, une action policière internationale menée en collaboration avec le secteur privé et McAfee Labs, a permis de démanteler l'infrastructure de Gameover Zeus et de CryptoLocker. La prise de contrôle des domaines composant le réseau de communication a offert aux propriétaires des systèmes infectés l'occasion de supprimer les logiciels malveillants et de reprendre les commandes de leur vie numérique. Des menaces bien différentes Les deux menaces n'ont rien en commun. Gameover Zeus est un réseau de robots (botnet) peer-to-peer basé sur le cheval de Troie bancaire Zeus. Une fois Gameover Zeus infiltré dans l'ordinateur d'une victime, il tente de s'emparer de différents types d'informations. Les cybercriminels ont brillamment exploité le logiciel malveillant dans un large éventail d'attaques. Avec le vol d'informations d'identification bancaires en ligne, de numéros de cartes de crédit et même d'informations de connexion de sites d'emploi en ligne, Gameover Zeus sème la destruction sur son passage et a permis aux criminels d'engranger des millions de dollars. Selon les estimations, au cours du seul mois d'août 212, plus de 6 systèmes auraient été infectés, nombre d'entre eux appartenant à des sociétés du classement Fortune 5. Selon les estimations, Gameover Zeus aurait infecté plus de 6 systèmes, nombre d'entre eux appartenant à des sociétés du classement Fortune 5. Gameover Zeus s'inspire du cheval de Troie Zeus, conçu pour subtiliser des informations d'identification bancaires, mais diffère de ce dernier en cela qu'il décentralise le système de contrôle et crée un réseau peer-to-peer. Les victimes sont généralement infectées lors de campagnes de spearphishing qui utilisent divers exploits web et de navigateur pour distribuer le logiciel malveillant sur le système ciblé. Ce logiciel malveillant s'injecte dans des processus Windows légitimes pour assurer sa persistance et intercepte également des fonctions du système et du navigateur pour injecter du contenu «factice» dans le navigateur de l'utilisateur afin de dissimuler les activités frauduleuses. C'est une méthode très efficace pour les criminels qui cherchent à dérober des montants importants d'un compte professionnel mais doivent dissimuler leurs activités jusqu'à ce que les fonds aient été transférés sur leur propre compte. Des variantes de Gameover Zeus obtiennent leurs mises à jour et paramètres de configuration auprès des hôtes disponibles sur le réseau P2P, ce qui complique considérablement les tentatives d'interruption des communications. Gameover Zeus intègre aussi une fonction de mise à jour dynamique du fichier de configuration contenant la charge active destinée à s'emparer des fonds d'un compte bancaire. Suivre McAfee Labs Quant à CryptoLocker, il s'agit d'un cheval de Troie de demande de rançon (ransomware) qui chiffre des fichiers de la victime et les garde en otage jusqu'au paiement de la somme demandée, généralement dans une devise virtuelle, par exemple des bitcoins. Après avoir chiffré un système, CryptoLocker génère une fenêtre contextuelle réclamant la rançon en échange de la «restitution» des fichiers. Le logiciel malveillant utilise des algorithmes cryptographiques à clé publique pour chiffrer les fichiers de la victime. Dès que l'ordinateur est infecté, la clé est générée et la clé privée envoyée au serveur du cybercriminel. Le logiciel malveillant laisse généralement 72 heures à la victime pour verser la rançon, après quoi le serveur CryptoLocker est censé détruire la clé privée, ce qui rendrait toute récupération des fichiers impossible. Les victimes de CryptoLocker sont infectées par des e-mails de phishing et des botnets. Rapport de McAfee Labs sur le paysage des menaces Août 214 15
Points marquants Selon les observations de McAfee Labs, une instance du logiciel de demande de rançon CryptoLocker a conduit au vol de 255 dollars en un seul mois. McAfee Stinger, un outil gratuit qui détecte et élimine les logiciels malveillants, a été téléchargé plus de 8 fois au cours des trois jours qui ont suivi l'annonce de l'opération Tovar. McAfee Labs étudie CryptoLocker depuis septembre 213. Au cours d'une enquête récente, nous avons découvert une famille d'échantillons malveillants qui pointaient vers un portail exigeant,7 bitcoin (environ 461 dollars à l'heure de la rédaction de ce rapport) pour déchiffrer les fichiers. Le suivi du flux des transactions Bitcoin a révélé des données intéressantes. Au cours d'une même journée, 83 victimes ont versé 76 bitcoins (35 36 dollars) pour le déchiffrement de leurs fichiers. Nous avons également constaté que les auteurs de cette campagne possédaient plusieurs portefeuilles et avaient transféré entre eux d'importants montants en bitcoins qui ont terminé dans deux portefeuilles seulement. Pendant le mois observé, le portefeuille A contenait 11,892 bitcoins et le portefeuille B 442,477 bitcoins. Au taux de change actuel du bitcoin, cela représente un total cumulé d'environ 255 dollars de gains en un mois. La cyberextorsion est effectivement une activité très rentable. Flux de transfert de bitcoins CryptoLocker Le démantèlement de Gameover Zeus et de CryptoLocker Un sinkhole est un serveur DNS configuré pour renvoyer des adresses non routables pour tous les domaines dont il a pris le contrôle, de sorte que chaque ordinateur demandant la résolution de l'adresse du domaine est incapable de se connecter à la cible. Les sinkholes représentent une méthode courante et efficace de détection et de blocage du trafic malveillant. Gameover Zeus et CryptoLocker utilisent des algorithmes de génération de domaines (DGA, Domain-Generating Algorithms). Dans le cas de CryptoLocker, le fichier binaire du logiciel malveillant tente d'abord de se connecter à un serveur de contrôle codé en dur avec une adresse IP. S'il échoue, il génère un nom de domaine à l'aide d'un algorithme de génération de domaines aléatoire. Au cours de l'opération Tovar, les chercheurs et les enquêteurs ont craqué les algorithmes DGA, ce qui a permis de deviner les noms de domaine qui seraient générés au cours de l'année 214. Le blocage de ces domaines et le reroutage de leur trafic vers un serveur DNS appât (sinkholing) ont empêché les clients de communiquer avec le serveur de contrôle ou de télécharger d'autres charges actives. Rien que pour CryptoLocker, plus de 125 domaines ont été bloqués et plus de 12 domaines Gameover Zeus reroutés. Au cours des trois jours qui ont suivi l'annonce de l'opération Tovar, McAfee Stinger, un outil gratuit qui détecte et élimine les logiciels malveillants (dont Gameover Zeus et CryptoLocker), a été téléchargé plus de 8 fois. Le téléchargement d'outils similaires a augmenté de 3 % à 4 %. Rapport de McAfee Labs sur le paysage des menaces Août 214 16
Points marquants L'avenir Même si l'opération Tovar a été une belle réussite, les imitateurs se multiplient et créent de nouvelles variantes de logiciel de demande de rançon ou d'extorsion financière basées sur le code source de Zeus. De nouveaux projets apparaissent déjà sur les forums clandestins : Projet de logiciel malveillant similaire à CryptoLocker La capture d'écran précédente provient d'un forum clandestin proposant un service similaire à CryptoLocker pour 3 dollars. Ce service offre les fonctionnalités suivantes : Utilisation du chiffrement AES 128 bits et RSA 2 48 bits Utilisation de services TOR Prise en charge de plates-formes d'affiliation Modification du prix de la rançon selon les fluctuations du taux de change du bitcoin et choix des types de fichiers à chiffrer sur l'ordinateur infecté Création d'un portefeuille de bitcoins pour chaque client Acceptation des cartes prépayées, par exemple itunes Gameover Zeus et CryptoLocker sont des menaces redoutables qui ont rapporté gros à leurs développeurs. L'Opération Tovar a été un franc succès puis qu'elle a permis de paralyser cette infrastructure criminelle. En outre, de nombreux utilisateurs ont pu nettoyer leurs systèmes. C'est une victoire rare pour les victimes de logiciels malveillants. Malheureusement, les développeurs de logiciels malveillants persévèrent car il y a beaucoup d'argent à la clé. Des infrastructures et des logiciels malveillants de remplacement commencent déjà à apparaître. Les opérations telles que Tovar ont pour but de combattre les cybermenaces qui visent les entreprises, les infrastructures, les particuliers et d'autres cibles. Elles doivent leur réussite à la coopération entre de nombreux acteurs, dont les services policiers, les FAI et les éditeurs de solutions de sécurité. Au cours des six derniers mois, plusieurs criminels ont été arrêtés et condamnés à de longues peines d'emprisonnement. Bien que le cybercrime puisse être très lucratif, l'opération Tovar a démontré que les pirates n'échappent pas toujours à la justice. McAfee Labs s'investira toujours dans ce type d'initiative. Rapport de McAfee Labs sur le paysage des menaces Août 214 17
Statistiques sur les menaces Logiciels malveillants sur mobiles Logiciels malveillants Menaces Internet Menaces propagées par la messagerie Menaces réseau Faire part de vos impressions
Statistiques sur les menaces Logiciels malveillants sur mobiles Nouveaux logiciels malveillants pour mobiles 9 Le nombre total de logiciels malveillants sur mobiles a augmenté de 17 % au cours du deuxième trimestre. Dans le même temps, le taux de nouveaux logiciels malveillants sur mobiles semble s'être stabilisé à environ 7 échantillons par trimestre. 8 7 6 5 4 3 2 1 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 Nombre total de logiciels malveillants pour mobiles 5 4 5 4 3 5 3 2 5 2 1 5 1 5 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 Rapport de McAfee Labs sur le paysage des menaces Août 214 19
Statistiques sur les menaces Logiciels malveillants Nouveaux logiciels malveillants 35 Au cours du deuxième trimestre, les nouveaux logiciels malveillants ont connu une hausse de 1 % seulement, même si le nombre de nouveaux échantillons recensés plus de 31 millions reste le plus élevé enregistré au cours d'un seul trimestre. 3 25 2 15 1 5 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 Nombre total de logiciels malveillants 3 25 2 15 1 5 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 Rapport de McAfee Labs sur le paysage des menaces Août 214 2
Statistiques sur les menaces Nouveaux logiciels de demande de rançon (ransomware) Le déclin des nouveaux logiciels de demande de rançon, commencé un an plus tôt, se poursuit avec une baisse de 63 % au cours du trimestre, soit 63 857 nouveaux échantillons. 4 35 3 25 2 15 1 5 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 Nombre total de logiciels de demande de rançon 2 1 8 1 6 1 4 1 2 1 8 6 4 2 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 Rapport de McAfee Labs sur le paysage des menaces Août 214 21
Statistiques sur les menaces Nouveaux rootkits malveillants La tendance n'évolue pas pour les rootkits, si ce n'est pour la seule famille de bootkits Gupboot, responsable de l'augmentation au cours des deux derniers trimestres. Comme nous l'avions mentionné dans le Rapport de McAfee Labs sur le paysage des menaces de juin 214, nous nous attendons à une recrudescence des échantillons de rootkits puisque les pirates ont appris à contourner les mécanismes de protection des systèmes 64 bits. 25 2 15 1 5 1 er trim. 2 e 3 e 4 e 1 er 2 e 3 e 4 e trim. trim. trim. trim. trim. trim. trim. trim. trim. trim. trim. trim. 211 212 213 214 1 er 2 e 3 e 4 e 1 er 2 e trim. Nombre total de rootkits malveillants 2 1 8 1 6 1 4 1 2 1 8 6 4 2 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 Rapport de McAfee Labs sur le paysage des menaces Août 214 22
Statistiques sur les menaces Les menaces ciblant l'enregistrement de démarrage principal ont diminué de 44 % au cours du trimestre. 1 9 8 7 6 5 4 3 2 1 Nouveaux logiciels malveillants liés à l'enregistrement de démarrage principal (MBR) 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 Composants MBR identifiés Variantes des familles avec charges actives MBR connues 8 7 6 5 4 3 2 1 Nombre total de logiciels malveillants liés à l'enregistrement de démarrage principal (MBR) 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 Composants MBR identifiés Variantes des familles avec charges actives MBR connues Rapport de McAfee Labs sur le paysage des menaces Août 214 23
Statistiques sur les menaces Nouveaux fichiers binaires signés malveillants Poursuivant leur hausse ininterrompue, les nouveaux fichiers binaires signés malveillants ont franchi la barre des 3 millions au cours du deuxième trimestre. 3 5 3 2 5 2 1 5 1 5 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 Nombre total de fichiers binaires signés malveillants 4 35 3 25 2 15 1 5 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 Rapport de McAfee Labs sur le paysage des menaces Août 214 24
Statistiques sur les menaces Menaces Internet Nouvelles URL suspectes 2 18 16 14 12 1 8 6 4 2 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 URL Domaines associés Emplacement des serveurs hébergeant du contenu suspect 3 % L'Amérique du Nord continue d'héberger plus de contenus suspects que n'importe quelle autre région. 37 % 44 % Amérique du Nord Asie et Pacifique Europe et Moyen-Orient Amérique latine 16 % Rapport de McAfee Labs sur le paysage des menaces Août 214 25
Statistiques sur les menaces Principaux pays hébergeant des URL de phishing 26 % États-Unis Allemagne France Canada 2 % 2 % 3 % 5 % Royaume-Uni Brésil Russie Pays-Bas Autres 4 % 4 % 4 % 5 % Principaux pays hébergeant des URL de spam 2 % 2 % 12 % États-Unis Allemagne 9 % 42 % Royaume-Uni Japon Russie Autres 33 % Rapport de McAfee Labs sur le paysage des menaces Août 214 26
Statistiques sur les menaces Menaces propagées par la messagerie Volumes de spam et d'e-mails légitimes dans le monde (en milliers de milliards de messages) 1 9 8 7 6 5 4 3 2 1 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 212 213 214 Messages de spam E-mails légitimes Prévalence des réseaux de robots dans le monde Le nombre d'infections par le réseau de robots Dapato, parfois connu sous le nom de Carberp et d'autres alias, a enregistré une forte hausse ce trimestre. 39 % 19 % 1 % Dapato Sality Maazben Ramnit Cycbot SpyBot Darkness Spam-Mailbot 7 % NGRBot Autres 5 % 5 % 6 % 3 % 3 % 3 % Rapport de McAfee Labs sur le paysage des menaces Août 214 27
Statistiques sur les menaces Menaces réseau Principales attaques réseau Les attaques par déni de service enregistrent une progression de 4 % au cours de ce trimestre et restent la principale menace réseau. 2 % 2 % 2 % 3 % 3 % 9 % 12 % 29 % Déni de service Ver Attaque en force Navigateur SSL Porte dérobée (backdoor) Balayage Appel de procédure à distance 17 % 21 % Réseau de robots (botnet) Autres Rapport de McAfee Labs sur le paysage des menaces Août 214 28
À propos de McAfee Commentaires et suggestions Pour nous aider à améliorer encore les prochaines éditions de ce rapport, nous aimerions connaître votre opinion. Si vous souhaitez nous faire part de votre impressions, cliquez ici pour participer à une petite enquête sur nos rapports. Elle ne vous prendra pas plus de cinq minutes. McAfee, membre d'intel Security et filiale à part entière d'intel Corporation (NASDAQ : INTC), met ses compétences au service des entreprises, du secteur public et des particuliers pour les aider à profiter en toute sécurité des avantages d'internet. McAfee propose des solutions et des services proactifs réputés, qui assurent la sécurisation des systèmes, des réseaux et des terminaux mobiles dans le monde entier. Avec sa stratégie visionnaire Security Connected, une approche innovante de la sécurité optimisée par le matériel, et son réseau mondial de renseignements sur les menaces Global Threat Intelligence, McAfee consacre tous ses efforts à garantir à ses clients une sécurité sans faille. http://www.mcafee.com/fr Suivre McAfee Labs 1 http://blog.erratasec.com/214/6/3k-vulnerable-to-heartbleed-two.html#.u8p7vy1dvyo. Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de McAfee. Les informations présentées ici peuvent faire l'objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques. McAfee, Part of Intel Security. 2821 Mission College Boulevard Santa Clara, CA 9554 888 847 8766 www.intelsecurity.com Intel et le logo Intel sont des marques commerciales déposées d'intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright 214 McAfee, Inc. 61245rpt_qtr-q2_814_fnl