Rapport de McAfee Labs sur le paysage des menaces

Rapport de McAfee Labs sur le paysage des menaces Novembre 2014

À propos de McAfee Labs McAfee Labs est l'une des principales sources de référence à l'échelle mondiale en matière d'études et de renseignements sur les menaces, et les orientations stratégiques qu'il propose dans le domaine de la cybersécurité font autorité. Grâce à des données sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseau) recueillies à partir de millions de sondes, McAfee Labs fournit des renseignements en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques. McAfee fait désormais partie de la division Intel Security. www.mcafee.com/fr/mcafee-labs.aspx Suivre McAfee Labs Introduction Les fêtes de fin d'année se rapprochent à grands pas et les cybercriminels sont plus actifs que jamais. McAfee a récemment publié sa liste 12 arnaques pour les fêtes, qui met en avant quelques-uns des pièges qu'ils tendent aux internautes. Je vous invite à lire ce document aussi amusant qu'informatif. On commence aussi à voir fleurir des prévisions en tous genres pour 2015, depuis l'orientation que prendra l'économie mondiale jusqu'aux stars qui brilleront le plus à Hollywood. Depuis quelques années, McAfee Labs propose lui aussi des prévisions dans son propre domaine d'expertise. Bon nombre de celles présentées dans le rapport Prévisions 2014 en matière de menaces se sont vérifiées. Ainsi, nous avions prévu avec justesse la prolifération des logiciels de demande de rançon (ransomware), y compris sur les plates-formes mobiles, l'augmentation des attaques à visée politique et l'adoption massive par les entreprises de services de renseignements sur les menaces et d'outils d'analyse dans le but d'identifier des menaces toujours plus furtives. Mais comme nous ne sommes pas parfaits, certaines nous ont échappé. Ainsi en va-t-il des prévisions. Cette année, nous avons décidé d'avancer la publication de nos prévisions 2015 en matière de menaces et de les inclure dans ce rapport. Nos clients disposeront ainsi d'un délai plus grand pour réfléchir à ce qui les attend en 2015 et pour se préparer aux menaces les plus significatives. Il va de soi que nous continuerons à revenir sur des points marquants et à proposer des statistiques sur les menaces comme dans tous nos rapports trimestriels. Dans notre article phare consacré aux points marquants de ce trimestre, nous nous penchons sur BERserk, une vulnérabilité du logiciel de vérification des signatures RSA que les cybercriminels sont parvenus à exploiter de manière étendue. La divulgation par McAfee de cette vulnérabilité a été éclipsée par l'annonce de Shellshock, mais les risques associés à la première sont loin d'être négligeables. Vous trouverez de plus amples informations sur BERserk ici. Un article connexe se penche sur les diverses manières dont les cybercriminels abusent de la confiance des utilisateurs. Il nous rappelle combien la sensibilisation et la formation sont importantes dans la lutte contre ce type de menace. À la lecture de ce rapport, vous constaterez également que la section Statistiques sur les menaces contient de nouveaux graphiques et que certains graphiques habituels ont été modifiés. Les commentaires de nos lecteurs nous ont poussés à ajouter certaines statistiques intéressantes à vos yeux. En outre, nous avons amélioré la précision de certains graphiques en utilisant des rapports plus pointus produits par nos systèmes. Nous espérons que vous apprécierez cette nouvelle mouture. Nous tenons à remercier tous les participants à l'enquête parue dans le Rapport sur le paysage des menaces du mois d'août. Nous sommes à votre écoute, comme en témoignent les améliorations apportées aux statistiques sur les menaces mentionnées ci-dessus. Si vous souhaitez nous faire part de vos impressions concernant ce Rapport sur le paysage des menaces, cliquez ici pour participer à une courte enquête. Celle-ci ne vous prendra pas plus de cinq minutes. Joyeuses fêtes à vous et à vos proches. Vincent Weafer, Vice-Président Directeur, McAfee Labs Donner votre avis Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 2

Sommaire Rapport de McAfee Labs sur le paysage des menaces Novembre 2014 Ce rapport a été préparé et rédigé par : Cedric Cochin Benjamin Cruz Michelle Dennedy Aditya Kapoor Dan Larson Haifei Li Chris Miller Igor Muttik François Paget Eric Peterson Mary Salvaggio Craig Schmugar Ryan Sherstobitoff Rick Simon Dan Sommer Bing Sun Vinoo Thomas Ramnath Venugopalan James Walter Adam Wosotowsky Stanley Zhu Résumé 4 Prévisions 2015 en matière de menaces McAfee Labs Cyberespionnage 6 Internet des objets 6 Confidentialité des données 8 Logiciels de demande de rançon (ransomware) 9 Environnement mobile 9 Points de vente 10 Logiciels malveillants au-delà de Windows 11 Vulnérabilités 12 Contournement des environnements restreints de type «sandbox» 14 Points marquants BERserk : un coup dur pour les connexions approuvées 16 Abus de confiance : exploitation du maillon faible de la sécurité en ligne 19 Statistiques sur les menaces 27 Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 3

Résumé Prévisions 2015 en matière de menaces de McAfee Labs Ce Rapport sur le paysage des menaces commence par examiner l'activité des menaces attendue en 2015. Nos prévisions ratissent large puisqu'elles couvrent notamment l'internet des objets, le cyberespionnage, les équipements mobiles, la confidentialité des données, les logiciels de demande de rançon (ransomware) et bien plus encore. BERserk tire parti d'une faille du logiciel de vérification des signatures RSA pour ouvrir grand la porte aux cybercriminels, qui peuvent ainsi lancer des attaques de l'intercepteur (man-in-themiddle) à l'insu des utilisateurs. McAfee Labs estime que la confiance dans les nombreuses formes d'interaction en ligne suivra le même chemin que l'e mail, dont l'authenticité inspire une confiance limitée. BERserk : un coup dur pour les connexions approuvées En septembre, Intel Security a publié les détails d'une vulnérabilité majeure appelée BERserk, en référence au code sous-jacent qui constitue la source de la vulnérabilité. À l'heure de la rédaction de ce rapport, nous ignorons la portée exacte de son impact, mais nous savons déjà qu'il sera très important. BERserk tire parti d'une faille du logiciel de vérification des signatures RSA pour ouvrir grand la porte aux cybercriminels, qui peuvent ainsi lancer des attaques de l'intercepteur (man-in-the-middle) à l'insu des utilisateurs. Pour instaurer un climat de confiance lors de l'accès à un site web et encourager les utilisateurs à effectuer des transactions, les développeurs utilisent généralement le préfixe «https» au début de l'url, combiné à un symbole de cadenas. BERserk compromet ce lien, permettant ainsi aux pirates de voir le flux d'informations entre l'utilisateur et le site et de manipuler ce flux à leur guise. Abus de confiance : exploitation du maillon faible de la sécurité en ligne Les utilisateurs constituent le maillon le plus faible de la plupart des configurations de sécurité. Nous sommes dépendants de nos équipements électroniques pour accéder à une grande partie des informations dont nous avons besoin et nous nous y fions pour obtenir des données précises de manière sécurisée. Souvent, les pirates exploitent abusivement la confiance que nous plaçons dans nos équipements pour dérober des informations. Cet article se penche sur l'abus de confiance et met en lumière les nombreuses techniques utilisées par les cybercriminels pour tirer parti de ces relations de confiance au travers d'exemples récents. McAfee Labs estime que la confiance dans les nombreuses formes d'interaction en ligne suivra le même chemin que l'e-mail, dont l'authenticité inspire une confiance limitée. Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 4

Prévisions 2015 en matière de menaces McAfee Labs Donner votre avis Cyberespionnage Internet des objets Confidentialité des données Logiciels de demande de rançon (ransomware) Environnement mobile Points de vente Logiciels malveillants au delà de Windows Vulnérabilités Contournement des environnements restreints de type «sandbox»

Prévisions 2015 en matière de menaces McAfee Labs Cyberespionnage La fréquence des attaques de cyberespionnage continuera d'augmenter. Les pirates actifs de longue date mettront en place des techniques de collecte des informations toujours plus furtives, tandis que les nouveaux venus chercheront des solutions pour subtiliser de l'argent et perturber les activités de leurs adversaires. Les petits États et les groupes terroristes étrangers feront la guerre à leurs ennemis sur le terrain du cyberespace. Ils lanceront des attaques par déni de service distribué paralysantes ou utiliseront des logiciels malveillants (malware) particulièrement destructeurs certains effaçant les secteurs de démarrage des disques, par exemple, mettant ainsi à mal les réseaux de leurs cibles. De leur côté, les cyberespions actifs de longue date déploieront des méthodes plus efficaces pour demeurer dissimulés sur le réseau de leurs victimes : ils recourront notamment à des technologies furtives plus efficaces et sophistiquées pour rester hors de vue, sous le système d'exploitation. Plus particulièrement, McAfee Labs constate aujourd'hui une évolution dans l'approche des cybercriminels d'europe de l'est. Ceux-ci délaissent quelque peu les attaques directes et rapides à l'encontre d'institutions financières, axées sur la capture d'informations d'identification des clients pour commettre des vols à caractère financier, au profit de menaces persistantes avancées (APT, Advanced Persistent Threats) plus évoluées, qui leur permettent de collecter des renseignements qu'ils pourront vendre ou utiliser par la suite. Ces cybercriminels agissent donc de plus en plus à la manière de cyberespions sophistiqués engagés par des États, effectuant une surveillance passive en attendant de pouvoir recueillir des renseignements utiles. Le secteur de la distribution assiste à l'émergence d'une approche similaire. De nombreux commerçants créent aujourd'hui des profils détaillés de leurs clients, incluant notamment leurs habitudes d'achat et leurs intérêts en matière de produits, leurs antécédents bancaires, leur historique de localisation, leurs coordonnées de contact et bien d'autres informations. De plus, les plans stratégiques, opérationnels et financiers de commerçants de renom peuvent s'avérer très intéressants aux yeux de certains acheteurs peu scrupuleux. Il apparaît que certains cybercriminels utilisent des techniques de cyberespionnage exploitant les menaces persistantes avancées (APT) pour infiltrer les systèmes des commerçants. Cela leur permet de collecter en toute discrétion des renseignements autres que des données de cartes de crédit, en vue de les vendre au plus offrant. Ryan Sherstobitoff Internet des objets Les attaques à l'encontre des équipements reliés à l'internet des objets connaîtront une hausse rapide en raison de la croissance exponentielle dans le nombre d'objets connectés, des pratiques déficientes en matière de sécurité et des données de grande valeur stockées sur ces appareils. Le nombre et la diversité des appareils de la famille de l'internet des objets (IoT, Internet of Things) connaissent une croissance exponentielle. Au sein du segment grand public, on les retrouve désormais dans des appliances, des voitures, la domotique et même des ampoules. Côté entreprises, les applications sont nombreuses, notamment dans le domaine de l'agriculture, de l'industrie et des soins de santé. Les équipements IoT sont constitués d'un éventail toujours plus large d'éléments logiciels et matériels, ce qui engendre une très grande complexité. Or la complexité est l'ennemi de la sécurité. Ces composants et donc les appareils eux-mêmes ne sont généralement pas conçus en ayant la sécurité à l'esprit. Le déploiement de plus en plus large d'équipements IoT combiné à l'absence d'une sécurité performante représente une menace émergente, tant pour les particuliers que pour les entreprises. Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 6

Prévisions 2015 en matière de menaces McAfee Labs Équipements connectés à Internet dans le monde 50 milliards Internet des objets Terminaux mobiles Ordinateurs personnels 1995 1998 2001 2004 2007 2010 2013 2016 2019 Sources : McAfee, sur la base de recherches menées par BI Intelligence, IDC et Intel Source : McAfee, sur la base de recherches menées par BI Intelligence, IDC et Intel Les attaques à l'encontre des équipements IoT sont devenues monnaie courante, qu'elles visent des caméras IP dotées de contrôles de sécurité insuffisants, des compteurs intelligents présentant des failles de chiffrement élémentaires ou des équipements SCADA alimentant des infrastructures critiques à travers le monde. En Espagne, par exemple, les compteurs électriques reliés au réseau installés dans des millions de foyers présentent des vulnérabilités qui ont été exploitées par des cybercriminels dans le cadre de fraudes à la facturation, ou encore pour provoquer des pannes générales d'électricité. Lors d'une conférence de white hats (pirates dénués d'intentions malveillantes) l'année dernière, des chercheurs ont démontré la facilité avec laquelle certaines caméras de sécurité connectées à Internet pouvaient être piratées, leur permettant ainsi de capturer les images vidéos et d'accéder au réseau de caméras. Un type de menace est particulièrement préoccupant : face à la prolifération des équipements IoT dans les soins de santé et à leur utilisation dans les hôpitaux, le risque de vol des informations contenues dans ces appareils se fait de plus en plus réel. Les données de soins de santé sont encore plus précieuses que les données de carte de crédit. Selon Reuters, les informations de cette nature peuvent valoir jusqu'à 10 dollars chacune, soit 10 à 20 fois plus qu'un numéro de carte de crédit américaine. Le terrain d'action traditionnel des États et des organisations criminelles pourrait bien être colonisé par des cybercriminels motivés. Nous pensons que l'année 2015 sera marquée par une attaque majeure visant directement les vulnérabilités des équipements IoT. Chris Miller et Ramnath Venugopalan Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 7

Prévisions 2015 en matière de menaces McAfee Labs Confidentialité des données La confidentialité des données sera toujours menacée, dans la mesure où pouvoirs publics et entreprises peinent à déterminer ce qui constitue un accès équitable et autorisé à des «informations personnelles» mal définies. Nous entendons par confidentialité des données le traitement équitable et autorisé d'informations personnelles. Même si cette simple phrase peut suffire à décrire la pratique et les problèmes en matière de confidentialité, la complexité et les risques associés aux problèmes de confidentialité vont croissant. Cette tendance ne fera par ailleurs que se renforcer de manière exponentielle en 2015. Si l'on analyse la définition de plus près, la notion d'«équité» est un concept subjectif tant pour les utilisateurs des systèmes que pour les clients ou employés des entreprises, ou pour les citoyens d'un État. Une série de principes en matière de pratiques d'information équitables, reconnus au niveau international dès les années 1960, permettent de définir l'équité de manière plus précise. Parmi ces principes figurent la transparence, la notification, le choix, la collecte proportionnée, le partage et la gestion transfrontières des données, la sécurité, la limitation de l'accès et l'élimination. La notion d'«autorisation» constitue un autre aspect de la confidentialité des données. Qui suis-je et que suis-je amené à faire dans le cadre de la gestion de données? Quelle place est-ce que j'occupe en tant que client, employé ou citoyen au sein d'une économie mondiale indépendante qui fait la part de plus en plus belle au numérique? En 2015, nous verrons encore des systèmes archaïques, basés sur les rôles et des structures de mots de passe, tomber entre les mains de personnes aux intentions malveillantes ou, à tout le moins, aux pratiques négligentes. Les données biométriques et les identifiants sont probablement les meilleurs indicateurs de présence et d'intention qui soient ; ils constitueront un domaine d'innovation majeur. Nous pensons que la détermination de votre identité, du lieu où vous vous trouvez et du moment de vos interactions constituent autant de facteurs qui continueront à stimuler l'innovation et à accroître les risques d'exploitation. Les «informations personnelles» constituent le dernier élément de la définition de la confidentialité des données. En 2015, nous assisterons à une multiplication des débats et à un manque de clarté toujours plus évident quant à la définition précise de la notion d'informations «personnelles» et aux données qu'il convient de mettre raisonnablement à la disposition des États ou des acteurs privés pour observation. Dans beaucoup d'endroits, les informations personnelles sont définies d'un point de vue juridique comme des données qui identifient directement un individu ou qui, en combinaison avec d'autres, sont susceptibles de conduire à l'identification d'une personne déterminée. Bien que les statisticiens et les économistes aient toujours eu recours à de vastes ensembles d'éléments d'information pour créer des «données», les plus branchés sur le plan technique qualifient de Big Data le phénomène consistant à utiliser de gros volumes d'informations. Plus ces ensembles de données sont volumineux, moins il y a de chances que nous réussissions vraiment à préserver notre anonymat. Par conséquent, la tendance pour 2015 et au-delà sera à l'extension croissante du champ d'application des règles et des règlements en matière de confidentialité des données, accompagnés d'obligations en cas d'infraction et de spécifications de sécurité, pour atteindre le domaine des ensembles de données autrefois anonymes. Fin 2015, l'union européenne devrait mettre à jour sa directive en matière de protection des données de 1995 et la remplacer par un règlement sur la protection des données en 2016 qui sera d'application dans tous les États membres et touchera l'ensemble des organisations internationales. Cette mesure de l'ue constitue peut-être la manœuvre de politique publique la plus tapageuse, mais des pays et régions comme l'amérique latine, l'australie, le Japon, la Corée du Sud, le Canada et de nombreux autres adopteront une attitude plus agressive et plus spécifiquement territoriale à l'égard des lois et réglementations en matière de confidentialité des données. Michelle Dennedy Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 8

Prévisions 2015 en matière de menaces McAfee Labs Logiciels de demande de rançon (ransomware) Les logiciels de demande de rançon (ransomware) connaîtront une évolution en termes de modes de propagation, de chiffrement et de cibles visées. De plus en plus de terminaux mobiles essuieront des attaques. Nous pensons que des variantes de ransomware capables de contourner les logiciels de sécurité installés cibleront de manière spécifique les terminaux qui s'abonnent à des solutions de stockage dans le cloud, telles que Dropbox, Google Drive et OneDrive. Après avoir infecté ces terminaux, les logiciels de demande de rançon tenteront d'exploiter les informations de connexion au cloud des utilisateurs pour propager l'infection aux données sauvegardées dans le cloud. Les victimes de ransomware seront mises à rude épreuve : découvrant que les données de leurs terminaux ont été chiffrées, elles se tourneront vers leur espace de stockage dans le cloud pour restaurer ces données, mais elles ne pourront que constater que les sauvegardes conservées dans le cloud ont été chiffrées, elles aussi. Bien que les fichiers chiffrés par des logiciels de demande de rançon ne puissent pas se propager et infecter d'autres appareils d'eux-mêmes, il faut s'attendre à une évolution des tactiques. Les fichiers chiffrés serviraient alors de vecteurs au ransomware grâce à la conversion du fichier cible en fichier exécutable, tandis que les fichiers de données d'origine seraient stockés dans le corps du malware. Cette technique a déjà été utilisée par des virus infectant des fichiers pour faire main basse sur des fichiers exécutables légitimes et les transformer en vecteurs. Les auteurs de ransomware pourraient appliquer la même approche au chiffrement des fichiers. Comme l'année dernière, nous nous attendons à une nouvelle hausse du ransomware ciblant les appareils mobiles. Les téléphones et les tablettes constituent une cible de choix pour les auteurs de logiciels malveillants au vu des photos et données personnelles importantes qu'ils renferment. La technique du ransomware ciblant les données sauvegardées dans le cloud devrait s'étendre à l'univers mobile. Face à la multitude de modes de paiement non réglementés proposés sur les platesformes mobiles, les cybercriminels disposeront de divers moyens pour extorquer des rançons en échange du déblocage des données chiffrées. Vinoo Thomas Environnement mobile Les attaques ciblant l'environnement mobile continueront d'augmenter rapidement dans la mesure où les nouvelles technologies mobiles élargissent la surface d'attaque et où peu de mesures sont prises pour mettre fin à l'exploitation abusive des boutiques d'applications. Les logiciels malveillants sur PC ont toujours vu leur volume augmenter à la suite d'événements notables, tels que l'émergence de kits de génération de logiciels malveillants (permettant à des personnes sans compétences en programmation de créer des menaces), la distribution du code source malveillant (permettant aux personnes ayant une expérience minimale de la programmation de modifier des menaces) et l'exploitation abusive de fonctionnalités, d'applications ou de moteurs de scripts populaires. Le paysage des logiciels malveillants ciblant l'environnement mobile connaîtra une tendance similaire en 2015. Le code source des logiciels malveillants libres et commerciaux sur mobiles est en plein essor et les pirates devraient prochainement commencer à récolter les fruits de leurs efforts. Ce n'est donc qu'une question de temps avant que les kits de génération de logiciels malveillants sur mobiles ne prennent leur envol et n'ouvrent grand la porte aux voleurs potentiels. Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 9

Prévisions 2015 en matière de menaces McAfee Labs L'iPhone 6 d'apple, avec sa puce de communication en champ proche (NFC) et son portefeuille numérique intégré, popularisera l'utilisation de la technologie NFC pour les paiements numériques. Ces technologies seront rapidement adoptées par d'autres fournisseurs d'appareils mobiles en 2015 et les utilisateurs commenceront à s'en servir de manière significative pour leurs transactions commerciales. Comme il s'agit de transactions de type point de vente et que les vols à ce niveau sont particulièrement appréciés des cybercriminels, les équipements mobiles constitueront une cible de choix. En 2015, les chercheurs découvriront probablement des vulnérabilités dans le matériel NFC et les logiciels de portefeuille numérique, que les cybercriminels tenteront d'exploiter. La procédure d'installation des logiciels malveillants ciblant les mobiles demeurera pour l'essentiel inchangée. Les boutiques d'applications de confiance telles que l'app Store d'apple et le site Google Play réussissent assez bien à tenir à distance les applications truffées de logiciels malveillants. Elles ne sont toutefois pas à l'abri d'une infiltration. En outre, les boutiques d'applications et les sites de téléchargement direct d'applications non approuvés sont légion, et les applications qu'ils proposent dissimulent souvent des logiciels malveillants. Souvent, le trafic sur ces boutiques et sites d'applications malveillants trouve son origine dans des publicités malveillantes, lesquelles ont connu un essor rapide sur les plates-formes mobiles. En 2015, nous continuerons à observer une croissance rapide des publicités malveillantes ciblant les utilisateurs mobiles, confortant la tendance à la hausse des logiciels malveillants sur mobiles. Nous nous attendons également à une augmentation des logiciels de demande de rançon ciblant les mobiles, dès lors que les cybercriminels tenteront de transposer les méthodes d'extorsion qui fonctionnent pour les ordinateurs. Une fois perfectionné pour les plates-formes mobiles, le ransomware devrait se révéler encore plus lucratif que sur les ordinateurs car les utilisateurs mobiles dépendent dans une large mesure de leur appareil pour accéder instantanément à une foule d'informations critiques (contacts, calendrier et adresses, par exemple). Compte tenu de toutes les données stockées sur un appareil mobile, les utilisateurs feront tout ce qui est en leur pouvoir y compris payer une rançon pour y avoir à nouveau accès. Craig Schmugar et Bing Sun Points de vente Les attaques dirigées contre les points de vente demeureront lucratives et l'adoption croissante par le grand public des systèmes de paiement numérique sur appareils mobiles offrira aux cybercriminels de nouvelles surfaces d'attaque à exploiter. D'après un article du magazine Forbes, 15 billions de dollars ont changé de mains en 2013 grâce aux transactions du commerce de détail. Les systèmes de paiement utilisés pour ces transactions représentent donc une cible tentante pour les cybercriminels. En 2014, nous avons assisté à une hausse notable des attaques à l'encontre de ces systèmes, dont une compromission majeure chez Home Depot, géant américain de la distribution spécialisé dans le bricolage. Pendant tout ce temps, les auteurs de fraudes à la carte de crédit ont continué à viser les particuliers. Ils sont devenus encore plus présents cette année, leurs fraudes s'étendant des lecteurs de carte de restaurants aux distributeurs automatiques de billets ou aux pompes à essence. Les attaques ciblant les points de vente sont devenues tellement courantes qu'elles font désormais partie du quotidien des personnes travaillant dans ce secteur. Pourtant, peu de mesures ont été prises pour améliorer la sécurité des points de vente, de sorte que nous nous attendons à une poursuite de la hausse des compromissions de leurs systèmes en 2015. Les États- Unis pourraient toutefois enregistrer une baisse fin 2015, avec le déploiement de cartes à puce et à code PIN et de lecteurs de cartes chez les commerçants. L'année prochaine, nous devrions assister à une hausse significative de l'utilisation des systèmes de paiement numérique. Apple a mis à jour son iphone dans le but d'y intégrer la technologie NFC. Celle-ci permettra d'utiliser la nouvelle fonction iwallet, qui envoie les informations de carte de crédit aux systèmes de paiement Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 10

Prévisions 2015 en matière de menaces McAfee Labs sans que les consommateurs doivent insérer leur carte magnétique. Plusieurs appareils Android prennent également en charge la technologie NFC et utilisent un processus appelé Host Card Emulation pour faciliter les paiements mobiles. Visa et MasterCard ont tous deux adopté cette technologie et proposent désormais des applications de paiement mobile fonctionnant sur les appareils compatibles NFC. L'infrastructure requise étant désormais en place, nous devrions assister à une généralisation de l'adoption de ces systèmes de paiement par les consommateurs. Et, de ce fait, nous nous attendons également à voir se développer des attaques fructueuses à l'encontre de ces systèmes. Les systèmes de paiement numérique peuvent éliminer le risque de fraudes à la carte de crédit, mais comportent leur propre lot de risques. Les plus aigus de ces risques sont les vulnérabilités de la technologie NFC sous-jacente. Certaines de ces vulnérabilités ont été mises en avant à l'occasion de la conférence DEF CON 2013 et continuent de faire l'objet d'un suivi dans le cadre du NFC Awareness Project. Le principal problème est que des informations sensibles sont désormais envoyées par le biais d'une connexion sans fil, que les auteurs d'attaques pourraient exploiter. Il existe des antécédents avérés d'attaques de ce type, dont l'attaque «Bluetooth Sniper Rifle» en 2005 et le clonage à distance de passeports électroniques en 2009. Des attaques similaires ciblant des appareils NFC sont probables en raison des vulnérabilités d'ores et déjà documentées. Dans la mesure où les consommateurs envoient aujourd'hui des informations de paiement par le biais d'un protocole présentant des vulnérabilités connues, il est plus que probable que cette infrastructure fera l'objet d'attaques en 2015. Dan Larson Logiciels malveillants au-delà de Windows Les attaques de logiciels malveillants ciblant des systèmes d'exploitation autres que Windows exploseront en 2015, stimulées par la vulnérabilité Shellshock. Au deuxième semestre 2014, nous avons appris l'existence de la vulnérabilité Shellshock, une faille qui touche le shell Bash que l'on retrouve sur les ordinateurs Unix, Linux et OS X. Cette vulnérabilité permet à un pirate d'exécuter des commandes arbitraires sur l'ordinateur de la victime, ce qui lui vaut d'être considérée comme extrêmement dangereuse. La base de données américaine NVD (National Vulnerability Database) lui a d'ailleurs attribué un score de gravité de 10 sur 10. Les conséquences de cette vulnérabilité récemment découverte se feront ressentir au cours des années à venir. De très nombreux appareils exécutent une forme ou l'autre du système d'exploitation Unix ou Linux, notamment des routeurs, des téléviseurs, des systèmes de contrôle industriels, des systèmes de vol et des infrastructures critiques. Nous commençons à peine à prendre la mesure de cette vulnérabilité. Ce vecteur d'attaque servira de point d'entrée dans divers types d'infrastructures, notamment les appliances de particuliers et les entreprises fortement dépendantes de systèmes d'exploitation autres que Windows. Nous nous attendons donc à une hausse significative des logiciels malveillants non Windows en 2015 dans la mesure où les pirates chercheront à exploiter cette vulnérabilité par divers moyens : exfiltration de données, rançonnage de systèmes, injection de robots de spam et autres opérations peu scrupuleuses. Face à l'exploitation par les cybercriminels des appareils vulnérables, qu'ils soient nouveaux ou anciens, pour mener à bien leurs attaques, Shellshock est assuré de faire les gros titres. Craig Schmugar Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 11

Prévisions 2015 en matière de menaces McAfee Labs Vulnérabilités Le nombre de failles décelées dans des logiciels populaires continuant d'augmenter, les vulnérabilités enregistreront une hausse. Les données en provenance de la base de données américaine NVD (National Vulnerability Database) montrent que le nombre de vulnérabilités a augmenté ces trois dernières années. Au vu des quelque 5 200 entrées enregistrées au 30 septembre, le nombre total de vulnérabilités pour 2014 pourrait dépasser le nombre record atteint en 2006. Compte tenu des nombreux facteurs étroitement imbriqués à prendre en considération, tels que la vitesse d'application et la portée des correctifs, la gravité de chaque vulnérabilité, la fenêtre d'exposition, etc., le décompte de vulnérabilités ne constitue pas une indication directe du risque. Il nous donne toutefois une idée de l'état de santé général de l'écosystème. 8 000 7 000 6 000 5 000 4 000 3 000 2 000 1 000 Vulnérabilités des applications signalées 0 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 Source : National Institute of Standards and Technology National Vulnerability Database Source : National Institute of Standards and Technology National Vulnerability Database Après une diminution du nombre de vulnérabilités entre 2006 et 2011, la tendance s'est inversée. La baisse pourrait être attribuée aux fonctionnalités de vérification de la pile des programmes de compilation, de prévention de l'exécution des données et de randomisation de l'espace d'adressage des logiciels 64 bits. La récente tendance à la hausse s'explique probablement par l'utilisation de nouvelles techniques d'exploitation, telles que la falsification de pile (stack pivoting), la programmation orientée retour (ROP, Return Oriented Programming) et la programmation orientée saut (JOP, Jump-Oriented Programming). Celles-ci sont combinées à une meilleure connaissance des logiciels 64 bits par les chasseurs de vulnérabilités, qu'ils soient animés de bonnes ou de mauvaises intentions. Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 12

Prévisions 2015 en matière de menaces McAfee Labs Pourcentage de nouveaux échantillons de logiciels malveillants exploitant des vulnérabilités connues 8 % 7 % 6 % 5 % 4 % 3 % 2 % 1 % 0 % 1 er trim. 2 e trim. 3 e trim. 4 e trim. 2011 1 er trim. 2 e trim. 3 e trim. 4 e trim. 2012 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 2013 2014 McAfee Labs a analysé notre collection de logiciels malveillants afin de déterminer la fréquence à laquelle ils exploitent des vulnérabilités connues. Selon le trimestre, entre 1 et 6 % de tous les nouveaux échantillons de logiciels malveillants tirent parti d'une vulnérabilité connue. Pour la période couverte par le présent rapport, ce chiffre était d'environ 2 %, ce qui signifie que 821 000 nouveaux échantillons de logiciels malveillants ont exploité une vulnérabilité connue. L'augmentation du nombre absolu d'échantillons recourant à des techniques d'exploitation va de pair avec une hausse du nombre de logiciels malveillants. En conséquence, la proportion d'échantillons «associés à des exploits» demeure relativement stable. En 2015, les mesures de limitation des vulnérabilités mises à la disposition des applications et des développeurs de systèmes d'exploitation ne devraient pas connaître de modifications majeures. En outre, le taux d'adoption des meilleures pratiques actuelles et émergentes ne devrait pas augmenter. Par conséquent, nous pensons que le nombre de nouvelles vulnérabilités détectées continuera d'augmenter, suivi en cela par le nombre de logiciels malveillants exploitant ces nouvelles vulnérabilités. Igor Muttik et François Paget Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 13

Prévisions 2015 en matière de menaces McAfee Labs Contournement des environnements restreints de type «sandbox» Le contournement du sandbox deviendra un problème de sécurité informatique majeur. De nombreuses applications critiques et populaires, dont Microsoft Internet Explorer, Adobe Reader et Google Chrome, ont mis en place leur propre technologie d'analyse en environnement restreint (sandboxing) dans le but d'isoler les comportements malveillants. Le cloisonnement des applications permettant de bloquer efficacement de nombreux types d'attaques, les auteurs de logiciels malveillants se sont mis en quête de solutions pour contourner ce type de mécanisme de sécurité. Prenons l'exemple d'internet Explorer. Les logiciels malveillants qui s'avèrent incapables de contourner son environnement sandbox ne constituent nullement une menace pour les utilisateurs puisque l'exploit ne peut apporter aucune modification persistante au système. La technologie de sandboxing d'internet Explorer se décline toutefois en deux versions : le mode protégé (PM, Protected Mode) et le mode protégé amélioré (EPM, Enhanced Protected Mode). Par défaut, Internet Explorer 10 et 11 utilisent la version PM. Or nos recherches ont montré que ce mode était relativement facile à contourner. Même si nous n'avons pas encore rencontré d'exploit en circulation capable de contourner le mode PM ou EPM, tous les ingrédients sont réunis, de sorte que nous devrions être témoins de cas de contournement de l'environnement sandbox d'internet Explorer et d'attaques de type «jour zéro» subséquentes en 2015. Des vulnérabilités pouvant entraîner le contournement du sandboxing des applications ont été identifiées et dévoilées dans de nombreuses applications clientes majeures. Ainsi, des vulnérabilités documentées ont été détectées dans Adobe Reader et Flash, Chrome, Apple Safari, Oracle Java et Internet Explorer. Ces vulnérabilités ont conduit les chercheurs et les pirates à approfondir leurs recherches. Lors de la conférence BlackHat 2014, par exemple, les chercheurs ont décrit quatre techniques de contournement du sandboxing des applications utilisées avec succès dans le cadre de participations gagnantes lors du concours de piratage Pwn2Own de cette année. En fait, presque tous les piratages primés par le concours de cette année incluaient des contournements réussis de l'environnement sandbox lors de la phase finale de l'exploitation. Nous avons déjà été témoins de techniques exploitant des vulnérabilités et contournant les environnements sandbox d'applications. Ce n'est qu'une question de temps avant que ces techniques soient proposées aux cybercriminels sur le marché noir. Nous pensons que cela devrait arriver en 2015. Une dernière prévision : jusqu'à présent, les cybercriminels se sont essentiellement concentrés sur le contournement des environnements sandbox d'applications. Cependant, les systèmes de sandbox indépendants, de plus en plus populaires, proposés par les fournisseurs de logiciels de sécurité constituent un nouvel obstacle en travers de la route des cybercriminels. Face à ce problème, les cybercriminels ont commencé à étudier des solutions qui permettraient à leurs logiciels malveillants d'échapper à ces systèmes de cloisonnement. Aujourd'hui, un nombre significatif de familles de logiciels malveillants parviennent à identifier les systèmes de détection de type sandbox et à les contourner. À ce jour, nous ne connaissons toutefois aucun logiciel malveillant en circulation qui soit parvenu à exploiter des vulnérabilités de l'hyperviseur pour échapper à un système de sandbox indépendant. Il devrait en être autrement en 2015. Haifei Li, Rick Simon, Bing Sun et Stanley Zhu Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 14

Points marquants BERserk : un coup dur pour les connexions approuvées Abus de confiance : exploitation du maillon faible de la sécurité en ligne Donner votre avis

Points marquants BERserk : un coup dur pour les connexions approuvées James Walter L'article «Abus de confiance : exploitation du maillon faible de la sécurité en ligne» propose un tour d'horizon des problèmes que pose aujourd'hui la fiabilité des sites web. Le présent article se penche quant à lui sur une vulnérabilité spécifique, qui met profondément à mal la confiance. L'équipe de recherche sur les menaces avancées d'intel Security se concentre sur plusieurs domaines clés qui affectent la sécurité du flux d'informations et des transactions en ligne. L'un d'eux est la ligne de base des communications sécurisées. Ce domaine comprend l'analyse approfondie des menaces et des expositions pour les protocoles SSL/TLS, le module TPM 2.0, des canaux latéraux cryptographiques et d'autres domaines dont nous tenons souvent pour acquise la «robustesse» du modèle de confiance existant. En septembre, cette équipe a dévoilé les détails de la vulnérabilité BERserk. Celle ci doit son nom à la vulnérabilité engendrée par l'analyse de séquences codées spécifiques qui suivent les règles d'encodage de base (BER, Basic Encoding Rules) dans l'implémentation du logiciel de vérification des signatures RSA. Intel Security et le chercheur en sécurité Antoine Delignat-Lavaud ont porté cette vulnérabilité à la connaissance de Mozilla, qui a ainsi publié des mises à jour pour plusieurs de ses produits, dont Firefox, Thunderbird, SeaMonkey et NSS. Google a également mis à jour son navigateur et son système d'exploitation Chrome dans la mesure où ces produits utilisent la bibliothèque cryptographique NSS. La faille réside dans la vérification des signatures RSA et, plus précisément, dans l'analyse incorrecte des séquences codées ASN.1 lors de la vérification des séquences. Cette vulnérabilité est une variante de Bleichenbacher PKCS#1 version 1.5, une vulnérabilité de type falsification des signatures RSA décrite dans l'entrée CVE-2006-4339. Les implémentations vulnérables analysent le message codé à la recherche des octets de remplissage 0xFF jusqu'à ce qu'elles tombent sur l'octet de séparation 0x00. Le processus procède ensuite à la validation de DigestInfo et du condensé du message en fonction des valeurs attendues sans vérifier si ces deux éléments sont justifiés à droite dans le message codé (EM, encoded message), ce qui permettrait de s'assurer de l'absence d'octets après le condensé du message. Sans cette vérification, un message EM' peut être construit de manière à inclure du contenu parasite supplémentaire après le condensé du message de sorte que l'em' satisferait à la vérification de signature suivante : EM' = 00 01 FF FF FF FF FF FF FF FF 00 DigestInfo MessageDigest Garbage Le contenu parasite supplémentaire dans l'em' permet à un pirate de générer des signatures RSA qui, au terme du calcul de la racine cubique réalisé sur le module RSA, donneront l'em' suivant : EM' = (s')^3 mod N Le pirate peut ainsi créer des signatures RSA, et donc les falsifier, sans connaître la clé privée RSA {p,q,d}. En conséquence, le pirate a la possibilité de falsifier des certificats RSA sans connaître la clé privée RSA correspondante. Qu'est-ce que cela signifie? En quoi cela nous affecte-t-il? Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 16

Points marquants BERserk ouvre grand la porte aux cybercriminels, qui peuvent ainsi lancer des attaques de l'intercepteur à l'insu des utilisateurs. Les risques sont comparables à ceux associés à Shellshock. La réponse est simple : les bons citoyens et internautes que nous sommes se sont habitués à un certain modèle de confiance. Nous connaissons la procédure à suivre pour vérifier qu'une session est sécurisée lorsque nous effectuons une transaction en ligne (qu'il s'agisse de transactions bancaires, médicales ou autres exigeant la saisie de données personnelles). Nous avons appris à vérifier la présence du préfixe «https» dans les URL, ainsi que des icônes très utiles de cadenas. Ces éléments nous aident à déterminer si un site ou une application est sûr et ne risque pas d'exposer des données à des individus malveillants. BERserk et les vulnérabilités connexes changent la donne et remettent en cause notre perception de la confiance et de la sécurité des sessions faisant appel à des connexions SSL/TLS. Les pirates étant capables de falsifier les signatures RSA de manière ciblée, ils peuvent créer une multitude de sessions d'interception différentes. La vulnérabilité BERserk pourrait conduire à des attaques de l'intercepteur (man-in-the-middle) Certificat racine d'ac RSA-2048/ Exposant public faible Autorité de certification (AC) Faux certificat du serveur Signature racine d'ac falsifiée Équipements utilisateur présentant des connexions sécurisées Acteur malveillant agissant en tant qu'intercepteur Certificats sécurisés La confidentialité et l'intégrité des sessions entre les utilisateurs et les sites bancaires, par exemple, peuvent s'en trouver compromises. Les faux certificats mis en place permettent aux utilisateurs de consulter les sites et même d'afficher des certificats confirmant leur authenticité. Tout apparaît donc comme parfaitement valide alors qu'il n'en est rien. De la même manière, les utilisateurs qui se connectent au site web de leur médecin traitant pour prendre connaissance de résultats d une analyse, par exemple, pourraient eux aussi être victimes de cette faille. Cela vaut aussi pour les déclarations fiscales en ligne et de très nombreux autres cas de figure. Ces menaces ne ciblent pas uniquement le Web et les logiciels : les bibliothèques cryptographiques utilisées par des équipements matériels tels que les téléphones stockent des données sensibles accessibles sur demande par les applications. Imaginez qu'un téléphone mobile ou une tablette contienne une mémoire et des données d'exécution sécurisées afin de mettre des fonctions cryptographiques à disposition des logiciels installés. Cela signifie que l'équipement possède un firmware doté d'une signature numérique pour empêcher toute modification non autorisée par des logiciels malveillants ou une intervention manuelle de l'utilisateur. La faille BERserk est toutefois à même de compromettre le firmware et donc d'affecter l'intégrité et la confidentialité des données couvertes par l'élément matériel sécurisé. Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 17

Points marquants Découvrez comment McAfee peut vous aider à vous protéger contre cette menace. Ce modèle est couramment utilisé pour le stockage des données financières utilisées pour effectuer des paiements auprès de fournisseurs ou sur des terminaux spécialisés tels que les systèmes de paiement NFC, sur lesquels toutes les données de carte sont stockées sur l'appareil. Dans un tel cas de figure, les pirates ont la possibilité de manipuler les sessions de diverses manières, notamment en détournant et en manipulant les données à l'entrée ou en sortie, ou simplement en collectant et en dérobant des données sensibles. Dans le cadre de nos recherches, nous sommes parvenus à falsifier jusqu'aux certificats RSA 1 024 et 2 048 bits. De telles falsifications sont tout bénéfice pour les pirates. Dans le cas de Mozilla NSS, en particulier, les pirates peuvent falsifier leurs certificats et faire en sorte que cette bibliothèque approuve la chaîne de certificats. Certificat falsifié vu dans Firefox L'équipe de recherche sur les menaces avancées d'intel Security continue d'examiner ces problèmes et la manière dont ils affectent d'autres scénarios en dehors du comportement du navigateur. Notre équipe collabore également avec des groupes CERT et des fournisseurs concernés en vue de remédier à ces problèmes. Les fournisseurs des bibliothèques cryptographiques touchées continuent de publier des mises à jour et des recommandations. Mozilla et Google ont mis à jour leurs produits. Les utilisateurs affectés sont invités à suivre les conseils de leurs fournisseurs et à maintenir leurs systèmes à jour. Pour plus d'informations sur BERserk, consultez les sources suivantes : BERserk vulnerability: Part 1: RSA signature forgery attack due to incorrect parsing of ASN.1 encoded DigestInfo in PKCS#1 v1.5 (Vulnérabilité BERserk : Partie 1 Attaque de type falsification des signatures RSA due à l'analyse incorrecte de l'élément DigestInfo codé ASN.1 dans PKCS#1 version 1.5) BERserk vulnerability: Part 2: Certificate forgery in Mozilla NSS (Vulnérabilité BERserk : Partie 2 Falsification de certificats dans Mozilla NSS) Intelsecurity.com : BERserk Computer Emergency Response Team : VU#772676 National Vulnerability Database : CVE-2014-1568 Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 18

Points marquants Abus de confiance : exploitation du maillon faible de la sécurité en ligne Cedric Cochin et Craig Schmugar Chaque jour, une majorité de la population mondiale utilise un équipement électronique, qu'il s'agisse d'un ordinateur personnel, d'un téléphone mobile, d'un téléviseur ou même d'une voiture. Nous en sommes venus à dépendre de ces équipements et, la plupart du temps, nous les estimons capables de fournir des informations précises. Mais cette confiance se doit d'être gagnée et confortée, ce qui demande souvent du temps et de l'argent. Chaque année, les entreprises dépensent des millions de dollars pour renforcer la réputation de leurs marques, sachant que des investissements judicieux dans ce domaine leur assureront de plantureux bénéfices. Elles sont conscientes que les consommateurs ont davantage tendance à acheter lorsqu'une marque de bonne réputation est associée à un objet. Les cybercriminels l'ont bien compris mais ne disposent généralement pas du temps, des ressources et de la patience nécessaires pour établir une relation de confiance avec leurs victimes. Ils n'ont dès lors pas d'autres choix que d'exploiter les investissements consentis et la confiance établie par d'autres. Nous assistons chaque jour à de nombreuses formes d'abus de confiance, et cette tendance ne fait qu'empirer. McAfee Labs suit par exemple des fichiers binaires malveillants signés, qui constituent une forme d'abus de confiance dans la mesure où les pirates dissimulent des logiciels malveillants dans des fichiers qu'ils tentent de faire passer pour certifiés et légitimes. Les fichiers binaires malveillants signés ont connu une croissance ininterrompue depuis que nous avons commencé à les suivre en 2007. Nombre total de fichiers binaires signés malveillants 45 000 000 40 000 000 35 000 000 30 000 000 25 000 000 20 000 000 15 000 000 10 000 000 5 000 000 0 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 4 e trim. 1 er trim. 2 e trim. 3 e trim. 2012 2013 2014 Les auteurs de logiciels malveillants signent numériquement leurs menaces afin d'abuser de la confiance des utilisateurs, des produits et des systèmes d'exploitation. Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 19

Points marquants La confiance héritée exploite l'intérêt que les utilisateurs accordent à une marque. Les sites web brouillent souvent la relation entre les marques approuvées et les autres marques qui apparaissent également sur leurs pages. Confiance héritée Pendant des années, la simple confirmation de la marque a suffi à établir des relations de confiance avec une marque commerciale lors d'une transaction. Aujourd'hui, les consommateurs doivent également déterminer si la marque de confiance fait elle-même confiance à d'autres marques représentées au travers de sa présence en ligne. En septembre dernier, le réseau publicitaire malveillant Kyle and Stan a été démasqué pour avoir distribué des «publicités malveillantes» par le biais de sites web populaires tels qu'amazon.com, ads.yahoo.com et youtube.com, ainsi que d'importants réseaux publicitaires tels que Double-Click et Zedo. Une campagne malveillante diffusée par l'intermédiaire de Zedo aurait pris pour cible des utilisateurs de sites web en tête du classement de popularité d'alexa afin de distribuer des variantes signées du cheval de Troie CryptoWall. La signature numérique utilisée était délivrée à «Trend», probablement dans le but de se faire passer pour l'éditeur de solutions de sécurité Trend Micro. Les premières données télémétriques montrent que les utilisateurs nord-américains en ont été les principales victimes. Malheureusement, de nombreux consommateurs accordent «par association» une confiance qui se révèle souvent mal placée. Certificat utilisé pour signer CryptoWall Rapport de McAfee Labs sur le paysage des menaces, novembre 2014 20