G Data Rapport de sécurité Rapport semestriel janvier-juin 2010 Ralf Benzmüller et Sabrina Berkenkopf G Data SecurityLabs Rapport de sécurité_1_2010 Go safe. Go safer. G Data.
Table des matières Vue d ensemble...3 Logiciels malveillants : chiffres et données...4 Une multitude de logiciels malveillants...4 Catégories de logiciels malveillants...5 Familles de logiciels malveillants...6 Plates-forme :.Net en pleine progression...8 Bilan et tendances 2010...9 Prévisions...9 Événements et tendances du premier 2010...10 Janvier 2010...10 Février 2010...11 Mars 2010...13 Avril 2010...15 Mai 2010...17 Juin 2010...18 2
Vue d ensemble Un nouveau record a été atteint au cours du premier 2010, avec l apparition de 1 017 208 nouveaux dangers informatiques. Il s agit d une augmentation de 10 % par rapport au précédent et de 50 % par rapport à l an dernier. Plus de deux millions de nouveaux dangers devraient être identifiés au cour de l année 2010. Avec une augmentation de 51 %, les logiciels espions sont la catégorie de logiciels malveillants qui connaît la plus forte croissance. Cela concerne tout particulièrement les enregistreurs de frappe et les chevaux de Troie bancaires. Le nombre de logiciels publicitaires a baissé de 40 %. Les deux familles de logiciels malveillants les plus productives, Genome et Hupigon, ont créé davantage de variantes que tous les malwares de l année 2007 réunis. Les dangers destinés à Windows prédominent, ils représentent 99,4 % des événements. Les virus.net ont cependant été multipliés par un facteur de 3,4 et représentent donc désormais 0,9 % des événements. La plate-forme.net est également privilégiée par les auteurs de logiciels malveillants. Les codes nuisibles pour les dérivés Unix et le langage Java connaissent également une augmentation notable. Tendances Le vol de données est et reste l une des principales fonctions des logiciels malveillants. Les logiciels publicitaires sont remplacés par de faux logiciels de protection anti-virus et des logiciels de chantage. De plus en plus de fonctions et de services en ligne sont utilisés à des fins abusives. Événements Les réseaux sociaux sont à l origine de nombreuses innovations mais également de quelques problèmes au niveau de la protection des données. Au premier plan, Twitter et Facebook. Le réseau de zombies Mariposa a été démantelé. La police espagnole a arrêté les trois exploitants. Le réseau de zombies Waledac, l un des dix plus grands réseaux aux États-Unis, a également été lourdement frappé par les autorités : le réseau a perdu 277 domaines.com. L Autorité des marchés des émissions allemande (Deutsche Emissionshandelsstelle, DEHSt) a été la victime d une attaque par hameçonnage, dans le cadre de laquelle les coupables ont réalisé des transactions pour une valeur d environ trois millions d euros. Les auteurs de logiciels malveillants mettent toujours plus l accent sur les fichiers PDF, les rapports concernant les points faibles des lecteurs PDF sont donc de plus en plus nombreux. 3
Logiciels malveillants : chiffres et données Les logiciels malveillants en croissance 2005 2006 2007 2008 2009 2010 Semestre 1 Schéma 1 : nombre de nouveaux logiciels malveillants par an depuis 2005 et le premier 2010 Au cours du premier 2010, le record du précédent a été battu d environ 10 %, avec 1 017 208 nouveaux virus informatiques 1. Il s agit d une augmentation de plus de 50 % par rapport à l an dernier. Rien qu au cours du premier 2010, plus de nouveaux virus ont fait leur apparition que sur l année 2008 entière. La barre des deux millions de nouveaux virus devrait être atteinte d ici la fin de l année. Jan. Fév. Mars Avril Mai Juin Juillet Août Sep. Oct. Nov. Déc. Schéma 2 : nombre de nouveaux logiciels malveillants par mois pour 2009 et 2010 1 Les chiffres du présent compte-rendu sont basés sur la détection des logiciels malveillants par les signatures anti-virus. Ils sont basés sur les similitudes au niveau du code des fichiers nuisibles. De nombreux codes nuisibles se ressemblent, ils sont donc regroupés dans des familles au sein desquelles il existe de petites variations. Les fichiers fondamentalement différents sont à la base de familles propres. Les chiffres sont basés sur les nouvelles variantes de signatures créées au cours du premier 2010. 4
Catégories de logiciels malveillants Le nombre de logiciels espions a augmenté de 3,4 % par rapport au deuxième 2009. Aucune autre catégorie n a connu une croissance aussi forte. Le fort recul enregistré dans le dernier rapport semestriel de G Data n est donc plus d actualité. En chiffres absolus, cela signifie une augmentation de 51 %. Parmi les taux de croissance les plus élevés de la catégorie des logiciels espions, les enregistreurs de frappe 2 et les chevaux de Troie bancaires 3 se distinguent. Les Rootkits connaissent quant à eux une forte augmentation. Au cours du dernier, leur nombre a de nouveau été multiplié par 2,6. Les vers, les valeurs montantes du dernier rapport semestriel n ont en revanche pas poursuivi leur progression mais se sont toutefois maintenus à niveau. Le nombre de chevaux de Troie se maintient au niveau élevé du précédent. Dans ce groupe, le nombre de ransonware (logiciels de chantage) a été quasiment multiplié par dix par rapport à l an dernier. Le nombre de nouvelles portes dérobées (backdoor) a baissé de 2,9 %, la tendance à la baisse amorcée au premier 2009 se poursuit donc. Le nombre d outils a également baissé d un tiers et représente désormais 1 % des logiciels malveillants. Le nombre de logiciels publicitaires a connu la baisse la plus évidente. Sur une période d un an (du premier 2009 au premier 2010), leur nombre a baissé de 40 %, ce qui représente une baisse de pourcentage de 5,3 à 2,1 dans la catégorie des logiciels malveillants. Catégorie Chevaux de Troie Téléchargeurs/ injecteurs Nb. 1er Nb. 2eme 2010 Proportion 2009 Proportion Différence 1er 2010/ 2eme 2009 Nb. premier 2009 Proportion Différence 1er 2010/ 1er 2009 433.367 42,6 % 393.421 42,6 % +10 % 221.610 33,6 % +96 % 206.298 20,3 % 187.958 20,3 % +10 % 147.942 22,1 % +39 % Logiciels espions 130.175 12,8 % 86.410 9,4 % +51 % 97.011 14,6 % +34 % Portes dérobées 122.469 12,0 % 137.484 14,9 % -11 % 104.224 15,7 % +18 % Vers 53.609 5,3 % 51.965 5,6 % +3 % 26.542 4,0 % +102 % Trousses administrateur pirate 31.160 3,1 % 11.720 1,3 % +166 % 12.229 1,9 % +155 % Logiciels publicitaires 21.035 2,1 % 30.572 3,3 % -31 % 34.813 5,3 % -40 % Outils 9.849 1,0 % 14.516 1,6 % -32 % 11.413 1,6 % -14 % Exploits 2.495 0,2 % 3.412 0,4 % -27 % 2.279 0,3 % +9 % Autres 6.751 0,7 % 5.543 0,5 % +22 % 4.593 0,7 % +47 % Total 1.017.208 100,0 % 924.053 100,0 % +10 % 663.952 100,0 % +53 % Tableau 1 : nombre et proportion des catégories de logiciels malveillants 2009 et 2010, ainsi que leur évolution 2 2,5 fois par rapport au deuxième 2009 3 2,2 fois par rapport au premier 2009 5
Familles de logiciels malveillants Il est possible de classer les virus informatiques en familles selon leurs fonctions et leurs propriétés. Certaines de ces familles génèrent sans cesse de nouvelles variantes. Le nombre de virus a augmenté de manière constante par le passé tandis que le nombre de familles baissait. Cette tendance a pris fin le dernier. Au cours du premier 2010, on comptait 2 262 familles de logiciels malveillants en activité. Ce qui représente une augmentation d environ 3 % par rapport au précédent et d un septième par rapport au premier 2009. Nb. 1er 2010 Famille de virus Nb. 2eme 2009 Famille de virus Nb. 1er 2009 Famille de virus 1 116.469 Genome 67.249 Genome 34.829 Monder 2 32.830 Hupigon 38.854 PcClient 26.879 Hupigon 3 30.055 Buzus 37.026 Hupigon 18.576 Genome 4 25.071 Refroso 35.115 Scar 16.719 Buzus 5 24.961 Scar 24.164 Buzus 16.675 OnlineGames 6 21.675 Lipler 20.581 Lipler 13.889 Fraudload 7 19.385 OnlineGames 19.848 Magania 13.104 Bifrose 8 17.542 Palevo 18.645 Refroso 11.106 Inject 9 16.543 Startpage 16.225 Basun 10.312 Magania 10 16.517 Magania 16.271 Sasfis 10.322 Poison Tableau 2 : dix familles de virus les plus actives, nombre de nouvelles variantes en 2009 et en 2010 Le tableau 2 répertorie les familles les plus actives au cours des 18 derniers mois. Genome reste le chef de file, avec une augmentation de 73 % (entre le deuxième 2009 et le premier 2010). Genome génère en moyenne 640 nouvelles variantes chaque jour. Le nombre de variantes de cette famille au cours du premier 2010 correspond quasiment au nombre de virus de toute l année (cf. tableau 1). Le deuxième du classement du dernier, PcClient, n a pu se maintenir parmi les dix premiers. Les autres places sont occupées par des familles déjà bien connues (cf. description ci-dessous). OnlineGames revient parmi les dix premiers du classement. Les familles du ver Palevo et du pirate de navigateur Startpage atteignent le top 10 pour la première fois. Genome La famille des chevaux de Troie Genome allie des fonctionnalités telles que le téléchargement, l enregistrement de frappe ou le chiffrement des fichiers. Hupigon La porte dérobée Hupigon permet notamment à l auteur de l attaque de commander l ordinateur à distance, d enregistrer les saisies au clavier, d accéder au système de fichiers et d activer la webcam. Buzus Les chevaux de Troie de la famille Buzus recherchent des données personnelles (cartes de crédit, opérations bancaires en ligne, accès aux messageries électroniques et aux serveurs FTP) au niveau 6
du système infecté de leur victime, les données sont ensuite transmises à l auteur de l attaque. Ils tentent également de limiter les paramètres de sécurité de l ordinateur et de rendre ainsi le système de la victime vulnérable. Refroso Ce cheval de Troie a fait son apparition à la fin du mois de juin 2009. Il possède des fonctions de porte dérobée et peut attaquer d autres ordinateurs du réseau. Scar Ce cheval de Troie charge un fichier texte, qui permet de démarrer d autres téléchargements de programmes malveillants, tels que des téléchargeurs, des logiciels espions, des robots, etc. Lipler Le nom Lipler fait référence à une famille de téléchargeurs qui téléchargent d autres logiciels malveillants à partir d un site Web. Ils modifient également la page d accueil du navigateur. OnlineGames Les membres de la famille OnlineGames volent essentiellement les données d accès à des jeux en ligne. Pour ce faire, ils recherchent certains fichiers et certaines entrées du registre et/ou installent un enregistreur de frappe. Dans le dernier cas, le vol ne porte pas uniquement sur les données des jeux. La plupart des attaques ciblent des jeux populaires en Asie. Palevo Le ver Palevo se propage par le biais des supports de données amovibles (autorun.inf) et via des copies aux noms alléchants sur les sites de téléchargement de poste à poste, tels que Bearshare, Kazaa, Shareaza, etc. Il propose également des liens vers des sites Web nuisibles via les messageries instantanées (MSN essentiellement). Il injecte des fonctions de porte dérobée à l Explorateur et recherche des serveurs définis, sur commande. Startpage Cette famille de logiciels malveillants modifie la page d accueil et souvent bien d autres paramètres du navigateur. Elle représente la variante la plus importante des pirates de navigateur. Magania Les chevaux de Troie de la famille Magania, originaire de Chine, sont spécialisés dans le vol de données de comptes de jeux de la société de logiciels taïwanaise Gamania. Les exemplaires Magania sont généralement distribués dans un courrier électronique, dans lequel se trouve une archive RAR compressée plusieurs fois. Lors de l exécution du logiciel malveillant, une image de diversion est affichée tandis qu en arrière-plan, des fichiers sont stockés dans le système. Magania s intègre également à Internet Explorer par le biais de la bibliothèque de liens dynamiques et peut ainsi lire le trafic Web. 7
Plate-forme : le.net en progression La majorité des logiciels malveillants reste dirigée vers Windows. Le pourcentage de fichiers exécutables de la catégorie des virus Windows (Win32) est en baisse (98,5 %), pour un nombre global de fichiers en hausse de 9 %. Ceci s explique notamment par une hausse des logiciels malveillants destinée à la plate-forme.net. La présence de ces logiciels a été multipliée par 3,4. La plateforme.net devient plus attrayante parce qu elle est livrée avec les nouveaux systèmes d exploitation. Dans l ensemble, la proportion de programmes nuisibles pour Windows représente environ 99,4 %. Le pourcentage de 0,6 % restant se rapporte aux deux tiers à des codes nuisibles de sites Web (JavaScript, PHP, HTML, ASP, etc.) (soit 0,4 %). On enregistre un léger recul au niveau du nombre de nouvelles variantes. Les variantes existantes sont toutefois très répandues. Différence 1er 2010/ 2eme 2009 Différence 1er 2010/ 1er 2009 Plate-forme Nb. 1er 2010 Proportion Nb. 2eme 2009 Proportion Nb. 1er 2009 Proportion 1 Win32 1.001.902 98,5 % 915.197 99,0 % +9 % 659.009 99,3 % +52 % 2 MSIL 4 9.383 0,9 % 2.732 0,3 % +243 % 365 0,1 % +2471 % 3 WebScripts 3.942 0,4 % 4.371 0,5 % -10 % 3.301 0,5 % +19 % 4 Scripts 5 922 0,1 % 1.124 0,1 % -18 % 924 0,1 % -0 % 5 NSIS 6 260 0,0 % 229 0,0 % +14 % 48 0,0 % +442 % 6 *ix 7 226 0,0 % 37 0,0 % +511 % 66 0,0 % +242 % 7 Java 225 0,0 % 31 0,0 % +626 % 3 0,0 % +7400 % 8 Mobile 212 0,0 % 120 0,0 % +77 % 106 0,0 % +100 % Tableau 3 : cinq premières plates-formes en 2009 et en 2010 Les virus informatiques destinés aux autres plates-formes sont noyés dans cette masse. Il est cependant utile de mentionner que le nombre de logiciels malveillants pour les systèmes d exploitation Unix a été multiplié par plus de six et que les logiciels malveillants pour Java ont été multipliés par sept environ (par rapport au deuxième 2009). 4 MSIL est le format intermédiaire dans lequel les applications.net sont représentées dans un format indépendant de la plate-forme et du langage de programmation. 5 Les scripts sont des scripts Batch ou Shell ou des programmes rédigés en langage VBS, Perl, Python ou Ruby. 6 NSIS est la plate-forme d installation notamment utilisée pour installer le lecteur multimédia Winamp. 7 *ix désigne tous les dérivés Unix, tels que Linux, FreeBSD, Solaris, etc. 8
Bilan et tendances 2010 Le flot de logiciels malveillants est toujours aussi dense. Les portes dérobées, les Rootkits, les logiciels espions et consorts occupent une place indétrônable dans l économie souterraine florissante. Les auteurs de programmes nuisibles se tournent tout particulièrement vers les logiciels espions dans le domaine de l enregistrement de frappe, des opérations bancaires en ligne et des jeux en ligne. Le vol de données est et reste l une des principales fonctions des logiciels malveillants. Leur commercialisation dans le cadre de forums souterrains est un fait établi. Le nombre de nouvelles variantes de logiciels publicitaires décline de manière visible. Cela est sans doute lié au fait qu il est possible de gagner davantage d argent avec des méthodes publicitaires plus agressives, de faux programmes de protection anti-virus ou de faux logiciels de décodage et de protection (ransonware). Windows reste la principale cible des attaques. Mais les auteurs de logiciels malveillants sont de plus en plus à la recherche d alternatives. Prévisions Catégorie Chevaux de Troie Portes dérobées Téléchargeurs/injecteurs Logiciels espions Logiciels publicitaires Virus/vers Outils Trousses administrateur pirate Exploits Win32 WebScripts MSIL Mobile *ix Tendance 9
Événements du premier 2010 Janvier 2010 04.01. Phénomène insolite : le site Web de la présidence espagnole de l Union européenne fait peau neuve au sens littéral du terme. Un pirate a, par le biais d une attaque CSS (Cross- Site Scripting), remplacé le portrait du premier ministre espagnol Zapatero par une photo de Mister Bean, un personnage humoristique. 06.01. Phénomène insolite : un Britannique de 26 ans, furieux, envoie un message via Twitter, qui le mène directement en prison une semaine plus tard! «You ve got a week and a bit to get your s*** together, otherwise I m blowing the airport sky high», telle était la «menace» qu il a formulée à l aéroport britannique Robin Hood. Il craignait en effet que son vol prévu pour le 15 janvier soit annulé en raison du mauvais temps. Ce tweet lui a valu d être entendu par la police pendant sept heures, de perdre son travail et d être interdit à vie d accès à l aéroport de Doncaster. La communauté Internet a gentiment qualifié Paul Chambers de Twidiot. Chambers lui-même ne comprend pas grand-chose à toute cette agitation. 12.01. L Iranian Cyber Army s empare du plus important site de recherche chinois, Baidu, en modifiant des entrées du système de noms de domaine, tout en laissant derrière elle un message de revendication politique. En décembre 2009, elle avait paralysé, également en modifiant des entrées du système de noms de domaine, le service de microblogage Twitter pendant quelques heures. 14.01. L exploitant du site Internet opendownload.de a perdu en deuxième instance devant le tribunal de grande instance de Mannheim, et ne dispose plus d aucune possibilité de pourvoi en cassation. Début 2008, un utilisateur avait reçu une facture du site alors que l obligation de paiement n est pas identifiable et perceptible au point que le consommateur moyen soit bien informé des coûts générés, selon la décision du tribunal de grande instance de Mannheim. Le client a refusé le paiement par le biais de son avocat et a réclamé juridiquement le recouvrement des frais d avocat. La centrale des consommateurs du Land de Rhénanie-Palatinat avait déjà dénoncé les méthodes douteuses du site fin 2008. 14.01. Un ancien administrateur du site Web souterrain DarkMarket a été condamné à dix ans de prison. Renukanth Subramaniam, un Londonien de 33 ans, s occupait du site Web en collaboration avec un agent du FBI travaillant sous couverture. La police fédérale américaine a créé le site et mené par ce biais des enquêtes dans les cercles des cybercriminels. 19.01. Le blog du site Web netzpolitik.org révèle que des données de l organisateur de voyages pour la jeunesse Ruf ont été volées lors d une cyberattaque. Ce sont surtout les données relatives aux membres de la communauté de jeunes de l organisateur de voyages qui sont tombées dans les mains des pirates. Selon un communiqué du 21 janvier du site netzpolitik. org, la société Ruf était informée depuis trois ans déjà de la présence de failles de sécurité, avertissements qu elle avait apparemment ignorés. 10
21.01. Microsoft publie un correctif de sécurité en marge du cycle normal. Le correctif d urgence devenait indispensable : le code d exploit à l origine des attaques dont ont souffert Google et d autres sociétés en décembre 2009 avait été publié sur Internet en début de semaine. Le correctif répare au total huit failles de sécurité. 25.01. La cyberattaque lancée sur Google et d autres entreprises, qui a fait beaucoup de vagues début janvier, a notamment été possible grâce à l utilisation des réseaux sociaux. Les experts ont pu déterminer que les pirates ont trouvé des personnes à des positions clés, les ont espionnées par le biais du Web 2.0 et ont piraté les comptes d amis des victimes. Ils ont ensuite envoyé, en tant qu amis, des messages avec des liens vers des sites Web infectés et ont ainsi pu accéder aux réseaux des entreprises. Le groupe envisage de renoncer au marché chinois et de fermer le site google.cn. Illustration : G Data 2009 29.01. L Autorité des marchés des émissions (Deutsche Emissionshandelsstelle, DEHSt) s exprime sur les attaques par hameçonnage survenues hier : les escrocs ont envoyé un courrier électronique prétendument rédigé par l Autorité des marchés des émissions et qui invitait le destinataire à se connecter à un faux site Web, dans le but, ironique, de se protéger du piratage. Les coupables ont, grâce aux données d accès volées, transmis des droits d émission, essentiellement au Danemark et en Grande-Bretagne et se seraient ainsi emparés de trois millions d euros. Conclusion : les attaques par hameçonnage ciblées peuvent être très lucratives. Février 2010 02.02. Mots de passe Twitter réinitialisés : les responsables du service de microblogage Twitter ont enregistré des attaques au niveau de leurs utilisateurs qui auraient été effectuées à l aide de pages Torrent. Il s agit essentiellement d utilisateurs qui utilisaient les mêmes données de connexion sur différentes plates-formes et qui étaient donc facile de pirater. Les mots de passe doivent être différents pour chaque compte. De légères variations à un mot de passe de base suffisent généralement. 03.02. Les sites Web de célèbres portails d informations en ligne allemands ont été les victimes de malvertising. Golem.de, Handelsblatt.com et Zeit.de proposaient par intermittence aux visiteurs de leurs sites Web un code nuisible par le biais de bannières publicitaires infectées. Le risque d infection n est plus limité aux sites Internet les plus obscurs. Les systèmes de protection anti-virus fiables doivent s assurer de l absence de code nuisible dans le contenu des sites Web. 03.02. Edwin Andrew Pena a plaidé coupable, devant le tribunal de New Jersey, de ventes illégales de minutes de communications Voix sur IP entre 2004 et 2006, ventes qui lui auraient permis de gagner environ 1 000 000 de dollars. Pena infiltrait les paquets de données au niveau des serveurs de prestataires de services de télécommunications, dont la protection reposait uniquement sur les mots de passe standard prédéfinis. 11
09.02. Cinq jours après un message concernant deux modules complémentaires infectés, Mozilla doit faire marche arrière : seul un des programmes complémentaires est infecté. Une analyse effectuée ultérieurement a en effet indiqué que l outil prétendument infecté était en fait un faux positif. 09.02. Un outil qui supprime un cheval de Troie mais en installe un nouveau sur l ordinateur : Kill Zeus est le nom du programme du Spy Eye Toolkit qui permet certes de supprimer le cheval de Troie Zeus mais qui a également des objectifs plus nuisibles, comme récupérer les données de l utilisateur et les mots de passe à son compte. Le Zeus-Toolkit circule sur les forums souterrains depuis fin 2009 et s échange pour une valeur d environ 500 dollars. 09.02. Un scareware néerlandais apparaît sur la toile. Même si l interface utilisateur est bourrée de fautes d orthographe, l existence d une version non anglaise est perçue comme un élargissement clair en direction des pays non anglophones. Ce scareware était proposé dans 19 langues au total. 10.02. Le gouvernement australien a été paralysé par des attaques par saturation du groupe d activistes Anonymous. Les attaques ont été décrites comme de l hacktivisme politique et ont été fermement condamnées par le gouvernement et par les opposants à la censure. Motif de l agitation : l Australie envisage de censurer des contenus pornographiques en ligne, ce qui fait redouter aux opposants à la censure un filtrage exagéré. 17.02. Phénomène insolite : un groupe de jeunes néerlandais a créé le site PleaseRobMe.com pour attirer l attention sur le risque que représentent les messages d absence inconsidérés au niveau des réseaux sociaux. Les utilisateurs doivent réfléchir au fait que leurs tweets et leurs messages depuis leur lieu de vacances sont accessibles à tous et tous ne sont pas forcément des amis. Les voleurs savent ainsi quand vous êtes loin de chez vous et profitent de l occasion. La rumeur veut que les assureurs envisagent d augmenter la prime d assurance si les clients Capture d écran 1 : Source : pleaserobme.com utilisent des services de géolocalisation. 17.02. Microsoft explique que le rootkit Alureon est responsable de l écran bleu figé sur de nombreux ordinateurs Windows XP et quelques ordinateurs Windows 7. Des pannes de protection générales sont apparues suite à la mise à jour système MS10-015 de la semaine dernière. Les ordinateurs infectés par Alureon avant la mise à jour sont concernés. 23.02. Microsoft indique avoir mené une bataille acharnée et jusqu ici unique en son genre contre l un des dix plus grands réseaux de zombies des États-Unis, Waledac. L entreprise demande l autorisation de la justice de mettre hors ligne 277 domaines Internet.com dont on suppose qu ils ont une relation avec le réseau de zombies Waledac. Les ordinateurs zombies infectés perdraient ainsi le contact avec le serveur de com- Illustration : G Data 2009 12
mande. On estime que le réseau de zombies Waledac envoie plus de 1,5 milliard de courriers électroniques de pollupostage par jour. Mars 2010 01.03. Il a été communiqué que, dans le cadre de l Operation Aurora menée contre Google et plus de cent autres entreprises, les attaques ont peut-être également eu lieu par le biais de fichiers PDF infectés. Certains ordinateurs faisant l objet d une expertise légale contiennent des documents PDF nuisibles qui pourraient avoir un rapport avec l attaque. Les fichiers présentent des similitudes avec les traces détectées jusqu à présent, au niveau de l heure, de l origine et du type. Dans ce contexte, le fabricant de puces Intel a fait savoir dans son rapport financier qu il avait été confronté à un incident de sécurité ingénieux. L entreprise n a cependant donné aucune indication concernant la dimension ou les répercussions de l incident. 03.03. Les autorités espagnoles ont fait savoir qu elles ont arrêté trois exploitants présumés du réseau de zombies Mariposa (en espagnol, papillon en français). Les hommes, de nationalité espagnole, sont âgés de 25 à 31 ans. Le réseau de zombies leur a essentiellement permis de voler des données d opérations bancaires en ligne et de cartes de crédit. Selon les estimations, le réseau s étend à plus de 13 millions d ordinateurs dans 190 pays. 06.03. Un grand nombre de comptes Twitter ont été piratés et inondés de pollupostage pour un prétendu régime. «Check out this diet I tried, it works!» et «I lost 20 lbs in 2 weeks» servaient de phrases d accroche. Cela n est pas encore confirmé mais il est probable que le piratage des comptes ait eu lieu par le biais d attaques en force (attaques par dictionnaire) menées sur les interfaces (de programmation) de Twitter. 07.03. Une enquête de GlobeScan effectuée pour BBC World Service indique que quasiment 80 % de la population considère l accès à Internet comme un droit fondamental. La majorité des 28 000 personnes interrogées dans 26 pays, dont 14 306 sont déjà des utilisateurs d Internet, souhaite que cet accès soit inscrit dans la réglementation comme dans des pays tels que la Finlande et l Estonie. 09.03. Twitter lance une nouvelle mesure de sécurité concernant les liens envoyés. Tous les liens envoyés via Twitter sont soumis à une vérification des nuisances possibles (hameçonnage et autres attaques) avant expédition. Cela permet de détecter, d intercepter et d empêcher la diffusion de liens nuisibles par le biais du service Twitter. 10.03. Les utilisateurs des navigateurs Internet Explorer 6 et 7 sont dans la ligne de mire des pirates. Microsoft publie un avertissement de sécurité concernant l exploit 0-Day. Les pirates peuvent, dans certaines circonstances, exécuter des commandes nuisibles sur les ordinateurs PC attaqués. Internet Explorer 7 est en pleine phase de distribution. Les experts pensent donc qu après la publication du code d exploit, la faille de sécurité sera largement exploitée. 11.03. Le nombre de serveurs de commande du réseau de zombies ZeuS augmente de nouveau. L initiative suisse ZeuS Tracker a enregistré une baisse importante du nombre de serveurs de commande au cours des deux derniers jours (de 249 à 104), qu elle impute à la désactivation 13
par intermittence du prestataire en amont Troyak-as. Le nombre de serveurs est de nouveau de 191 aujourd hui. 12.03. Le rapport annuel officiel des Internet Crime Complaint Centers (ou IC3) enregistre une augmentation des plaintes. On comptait 336 655 incidents en 2009, ce qui représente une augmentation de 22,3 % par rapport à 2008. L essentiel des plaintes est déposé pour des escroqueries Internet avec des dommages financiers. Les pertes financières s élèvent à 559,7 millions de dollars. L IC3 est le fruit de la collaboration entre le FBI et le National White Collar Crime Center et centralise les plaintes liées à la cybercriminalité aux États-Unis. 16.03. Deux élèves d un lycée d Heeswijk-Dinther (Pays-Bas) ont été renvoyés pour avoir accédé aux comptes de messagerie électronique de 19 professeurs à l aide d enregistreurs de frappe. Ils volaient les documents des examens et communiquaient les informations à leurs amis. 19.03. Une faille de sécurité critique du navigateur Firefox 3.6 a poussé le Bürger-CERT, un projet de l office fédéral allemand pour la sécurité des techniques d information, à émettre un avertissement. Les utilisateurs étaient invités à ne plus utiliser la version 3.6 de Firefox. Mozilla a réagi rapidement et a proposé dès le 23 mars un correctif pour la faille de sécurité CVE-2010-1028. 22.03. L opérateur de téléphonie mobile Vodafone révèle que quasiment 3 000 appareils ont été livrés avec une carte mémoire infectée. Trois semaines auparavant, lorsqu un analyste spécialisé dans les logiciels malveillants a détecté un code nuisible après l achat d un smartphone, Vodafone avait indiqué qu il s agissait d une exception absolue. L incident serait limité à l Espagne. Les clients concernés ont été informés par courrier et des outils permettant de supprimer le logiciel nuisible ont été mis à disposition en téléchargement. Il est utile de s assurer de l absence de virus sur les nouveaux gadgets. 24.03. L organisation Messaging Anti-Abuse Working Group (MAAWG) publie les résultats d une étude concernant le comportement des utilisateurs en matière de sécurité des courriers électroniques. L étude menée en Amérique et en Europe de l Ouest indique que 43 % des 3 716 personnes interrogées ouvrent les courriers électroniques considérés comme du pollupostage, 11 % d entre elles cliquent même sur les liens inclus dans ces courriers. 8 % des personnes interrogées considèrent qu elles ne pourraient en aucun cas être victimes d une infection de zombies. 26.03. Albert Gonzalez a été condamné à vingt ans de prison aux États-Unis. Le juge a qualifié cet homme de 28 ans comme la plus grande et la plus onéreuse représentation du piratage informatique dans l histoire des États-Unis. Gonzales a volé, avec deux conspirateurs russes, plus de 130 millions de données relatives à des cartes bancaires et des cartes de crédit. 29.03. L expert en sécurité Didier Stevens utilise une fonction PDF pour lancer les programmes de son choix lors de l ouverture d un document PDF. La désactivation de la fonction JavaScript n assure aucune protection dans ce cas. Foxit Reader déclenche la publication d une mise à jour du code sans demander l autorisation de l utilisateur, Adobe Reader affiche un 14
message d avertissement. Il est cependant possible de modifier le texte de la fenêtre d avertissement, ce qui ouvre des possibilités en matière de piratage psychologique. 30.03. Une application anti-virus Facebook se propage au sein du réseau social. Il s agit en réalité d une tentative d escroquerie et non d une application de protection dédiée au premier acteur du secteur. Après installation de la fausse application, celle-ci affiche 20 amis dans le but d attirer d autres personnes dans le piège. 31.03. Facebook fait de nouveau les gros titres : le réseau géant a prétendument divulgué les adresses électroniques d environ 400 millions d utilisateurs sur leur profil pendant une trentaine de minutes. Les utilisateurs ne pouvaient ni supprimer, ni masquer leur adresse. 31.03. Nous apprenons aujourd hui que le site Web de l office fédéral de l environnement allemand a propagé le cheval de Troie ZeuS entre le 19 et le 22 mars. Les responsables de l infiltration du site ne sont officiellement pas connus. Avril 2010 01.04. La Belgique bénéficie d un nouveau centre d expertise en matière de cybercriminalité. L Université de Louvain collabore pour ce faire avec d autres établissements académiques, le gouvernement belge, la Commission européenne et des entreprises privées. L objectif du centre est de développer des mesures de formation adaptées et d échanger des connaissances. 15.04. Deux jours après la publication de détails au sujet d une faille de sécurité dans la boîte à outils de développement de Java, l exploit 0-Day Java semble s être perdu dans la nature. Tavis Ormandy et Rubén Santamarta ont publié des informations détaillées concernant la faille de sécurité. Sun a rapidement décidé de procéder à une mise à jour en marge du cycle habituel, devant le nombre croissant de communiqués prévoyant une vague d infection. La version 6u20 est disponible en téléchargement depuis aujourd hui et corrige la faille. 15.04. Le téléchargement de faux programmes informatiques Hentai sur des réseaux de poste à poste a permis la propagation d un virus informatique japonais. Le virus récupère les informations des ordinateurs infectés et les publie sur une page d accueil. Les informations regroupent le nom de la victime, les favoris de IE, l historique du navigateur, etc. La victime reçoit un courrier électronique dans lequel elle est invitée à payer 1 500 yens pour que ses données soient supprimées du site Web. 15.04. La «Nederlandse Spoorwegen», la société ferroviaire néerlandaise, se bat contre la fraude. Depuis le mois d août 2009, la société remplace tous ses distributeurs de billets après avoir découvert en 2009, 467 appareils de fraude sur des distributeurs. Capture d écran 2 : faux anti-virus Facebook Source : SecurityWatch Blog Illustration : G Data 2009 15
16.04. Un collaborateur de la police de Gwent (Royaume-Uni) a envoyé un tableau Microsoft Excel explosif avec les données personnelles et des informations concernant le casier judiciaire de 10 006 personnes. La liste est parvenue, grâce à l activation de la fonction de remplissage automatique dans le programme de messagerie électronique et un manque d attention, dans les mains des journalistes du The Register sous un format non chiffré et non protégé. La liste a été supprimée du système des journalistes en coopération avec la police et n a pas été publiée. 19.04. Le pirate néerlandais Woopie, Kevin de J., âgé de 22 ans, a été arrêté. Il est accusé du piratage des sites Web CrimeClub et ExtremeClub et du vol et de la publication de scripts de la base de données des administrateurs. Il semble qu il ait paralysé ces sites par des attaques par saturation. Son site Web, woopie.nl, a été confisqué par la Team High Tech Crime, une unité spécialisée de la police. C est toutefois la première fois qu un site Web est saisi aux Pays-Bas. 21.04. Depuis aujourd hui, Facebook propose une modification importante au niveau des paramètres de confidentialité. La fonction, appelée Personnalisation instantanée, permet aux gestionnaires de sites Web d accéder au profil public des utilisateurs de manière à leur proposer des sites personnalisés. La fonction Personnalisation instantanée doit faire l objet d un désabonnement. En d autres termes, elle s applique à tous les utilisateurs à moins que l utilisateur s y oppose. Cette fonction est un nouveau pas en direction de l utilisateur transparent et peut être utilisée à des fins de marketing/de publicité ciblée, mais également par des voleurs d identité. 22.04. Phénomène insolite : en avril 2010, quasiment 900 domaines.be ont déjà été piratés selon les statistiques de zone-h.org. Le blog Belsec indique que le nombre de piratages du mois est anormalement élevé. L utilisation de l hébergement partagé et le regroupement de nombreux sites Web sur un même serveur Web sont considérés comme des causes possibles. 24.04. Blippy est un site communautaire qui répertorie les achats de chacun en ligne. Les achats effectués, prix et description des articles achetés inclus, sont affichés au niveau du réseau sous forme de nouvelles brèves. Les données relatives aux cartes de crédit de cinq membres du service Web 2.0 ont été publiées sur Google. Selon Blippy, il s agit d un incident isolé, lié à la phase de test bêta du service. 27.04. Le projet Google Street View essuie de nouveau les critiques en Allemagne. Sur son blog officiel (Google Policy Europe Blog), le prestataire de services Internet Google Details fournit des explications concernant les données collectées par les véhicules Street View. Selon les informations fournies, l identifiant SSID et l adresse MAC font partie des données de réseau local sans fil collectées. Peter Schaar, responsable de la CNIL allemande, demande la suppression immédiate des données et l arrêt de la collecte des données à l avenir. Google déclare que les données utiles (les paquets de données envoyés) ne sont pas collectées ou enregistrées. Ces informations ont été modifiées le 14 mai 2010. 29.04. Un fraudeur bulgare a été condamné à quatre ans de prison pour des fraudes réalisées à Bruges, à Anvers et à Bruxelles. Il a été condamné pour interruption du trafic bancaire et pour appartenance à une organisation criminelle internationale. 16
Mai 2010 04.05. Deux des responsables présumés du réseau de zombies Mariposa, Netkairo et Ostiator, ont tenté de se faire embaucher dans une société espagnole spécialisée dans les logiciels de sécurité. Le directeur de la société déclare : «Je ne sais pas ce qu ils ont en tête mais utiliser le réseau Mariposa comme carte de visite n est pas d une grande aide, cela a plutôt l effet inverse». Lorsque la société a affirmé ne pas être intéressée par l offre, un des deux responsables du réseau a menacé de mettre à jour les failles de sécurité de ses logiciels. 04.05. Le portail Internet netzpolitik.org a de nouveau annoncé un usage massif des données de la plate-forme Web 2.0 allemande réservée aux adolescents : SchülerVZ. Après les derniers incidents, les exploitants du portail VZ ont investi dans la sécurité des données et ont également obtenu une certification de l organisme TÜV pour la fonctionnalité et la sécurité des données. Un étudiant est cependant parvenu à collecter les données de plus de deux millions d utilisateurs, la plupart mineurs. Son robot fonctionnait à la fois pour les platesformes MeinVZ et StudiVZ. Le programmeur avait pourtant mis l accent sur la protection des données des mineurs. Selon ses propres indications, le site SchülerVZ compte plus de 5,8 millions de membres en mai 2010. 05.05. Une nouvelle faille de sécurité de Facebook fait sensation : l option d affichage en aperçu du profil, disponible dans les paramètres de confidentialité, ouvre les discussions en ligne et les deman des de contact de la personne sélectionnée pour l affichage en aperçu. Facebook a réagi et mis la fonction de conversation hors ligne. 14.05. Les informations données fin avril concernant l étendue des données de réseau local sans fil collectées par le biais des véhicules Google Street View se sont avérées fausses. Dans une entrée de son blog, Google change de position : Alan Eustace écrit que des échantillons de données ont été collectés à tort à partir de réseaux Wi-Fi publics (non protégés par des mots de passe, par exemple). «En outre, compte-tenu des doutes émis, nous avons décidé que le mieux est de veiller à la collecte des données de réseau Wi-Fi par le biais de nos véhicules Google Street View exclusivement». 17.05. Environ 200 soldats de l armée israélienne ont été publiquement dupés par la milice shiite libanaise au sein du réseau social Facebook. Les instigateurs du profil, cachés derrière un nom israélien, Reut Zukerman, et une photo de femme, ont soutiré des informations confidentielles aux militaires. Les militaires avaient été mis en garde depuis environ un an du risque que présentent les connaissances sur Internet. 18.05. La société espagnole UPCnet propose des estimations alarmantes, selon lesquelles les organisations publiques espagnoles font l objet d environ 5 400 cyberattaques par an. Ces chiffres ont été établis à l aide du programme SIGVI de l Université technique de Catalogne, qui enregistre entre 12 et 15 attaques par jour, rien que pour l Université. 19.05. Un des plus grands forums criminels souterrains a été piraté : Carders.cc est une plateforme essentiellement consacrée aux cartes de crédit. Les pirates se seraient également attaqués au forum du 1337 Crew en novembre 2009. Le butin des pirates : une base de données avec des adresses électroniques, des adresses IP, etc. 17
24.05. Aza Raski, un collaborateur de Mozilla Labs, publie une démonstration de faisabilité sur ce qu il appelle le tabnabbing. Avec l aide de JavaScript, l icône de favori et le contenu de la page d un onglet de navigateur ouvert sont discrètement modifiés après un certain temps. La page modifiée peut alors imiter une page de connexion quelconque en faisant croire à l utilisateur qu il a lui-même affiché cette page. L attaque par hameçonnage est un succès si l utilisateur saisit ses données de connexion. Juin 2010 04.06. Adobe a fait part, sur sa page Web, d une faille de sécurité critique, qui concerne tous les systèmes d exploitation (CVE-2010-1297), pour Adobe Flash Player 9.0.277.0 et 10.x, Adobe Reader 9 et Acrobat 9 et 8. Les ordinateurs sont infectés par des fichiers Flash spécialement préparés. 07.06. La police japonaise a arrêté deux hommes pour vol de données et chantage, dans le cadre de la diffusion d un virus informatique par le biais de jeux Hentai. Le virus collectait les informations personnelles de la victime présentes sur l ordinateur et les publiait sur une page Web. Les deux hommes travaillaient ensemble depuis fin 2009, ont infecté au moins 5 000 ordinateurs et ont soutiré plus de 3,8 millions de yens (environ 34 000 euros). 10.06. Microsoft a annoncé sur son site Web l existence d une faille de sécurité dans le Centre d aide et d assistance de Microsoft, utilisée sous certaines versions de Windows XP et Windows Server 2003 pour diffuser un code nuisible. L affichage des documents d aide peut ouvrir la porte à un pirate, qui peut alors lancer des programmes sur l ordinateur de la victime ou télécharger des logiciels malveillants par le biais de la faille de sécurité. 25.06. Une vague de fausses confirmations de commande Amazon.com et Buy.com fait son apparition dans les boîtes de réception. Le site Web proposé en lien contient un code nuisible et télécharge un faux logiciel de protection anti-virus sur Capture d écran 3 Source : Facebook.com l ordinateur de la victime. La particularité de ce scareware : il peut lire et afficher les mots de passe Internet Explorer 6 enregistrés. 28.06. Selon une enquête représentative de l association fédérale allemande Bitkom, 41 % des citoyens allemands ne modifient pas les mots de passe de leurs comptes en ligne, de leur boîte de messagerie électronique, etc. de leur propre chef. Les femmes sont encore moins actives lorsqu il s agit de modifier leurs données de connexion : 45 % d entre elles ne les changent jamais contre 38 % des hommes. La raison la plus souvent invoquée pour le manque d actualisation est la peur d oublier son mot de passe. Ce qui facilite le travail des voleurs de données. Capture d écran 4 : fausse commande Amazon 18