Rapport de McAfee Labs sur le paysage des menaces

Rapport de McAfee Labs sur le paysage des menaces Juin 2014 Rapport Rapport de McAfee sur le paysage des menaces Juin 2014 1

A propos de McAfee Labs McAfee Labs est la principale source de référence à l'échelle mondiale en matière d'études et de renseignements sur les menaces, et les orientations stratégiques qu'il propose dans le domaine de la cybersécurité font autorité. Grâce à des données sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseau) recueillies à partir de millions de sondes, McAfee Labs fournit des renseignements en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques. www.mcafee.com/fr/mcafee-labs.aspx Introduction Les rapports de McAfee attestent notre engagement à analyser et à expliquer les événements de cyberespionnage. Dans son poème de 1785 A une souris dont j'avais détruit le nid en labourant, l'écrivain écossais Robert Burns écrivait : «Les plans les mieux conçus des souris et des hommes ne se réalisent pas toujours». Plus de 200 ans plus tard, ce constat reste vrai. Nous nous efforçons de publier le Rapport de McAfee Labs sur le paysage des menaces dans les meilleurs délais après la fin de chaque trimestre. Mais cette fois, les circonstances en ont décidé autrement. Comme le savent tous les experts en sécurité, la vulnérabilité Heartbleed a été rendue publique en avril, à l'heure où nous commencions à rédiger ce rapport. La plupart de nos chercheurs se sont immédiatement attelés à la tâche, pour essayer de comprendre cette faille et s'assurer que les technologies de McAfee protégeaient nos clients contre celle-ci. C'est la raison pour laquelle la publication de ce rapport a été retardée. Ce numéro ne couvre pas Heartbleed, car il est encore trop tôt pour pleinement mesurer son impact. Nous y reviendrons toutefois dans notre prochain Rapport sur le paysage des menaces. En revanche, nous aborderons ici plusieurs sujets qui ne manqueront pas d'intéresser grand nombre de nos clients. Nos deux articles consacrés aux logiciels malveillants ciblant les terminaux mobiles mettent en lumière différents aspects de ce défi de taille. Nous évoquerons aussi le curieux phénomène de «minage» des monnaies virtuelles, qui ne rapportent à dire vrai qu'à ceux qui vendent pioches et pelles virtuelles. Enfin, nous aborderons le recul des nouveaux rootkits et les raisons qui nous font dire que cette tendance va s inverser. Nous attirerons en outre votre attention sur plusieurs autres rapports importants publiés par McAfee, tous dédiés au cyberespionnage. En avril, Verizon a publié son rapport d'enquête 2014 sur les compromissions de données 2014 Data Breach Investigations Report. McAfee s'y est associé, en fournissant des données de son rapport consacré au cyberespionnage Dissecting Operation Troy (L'opération Troy sous la loupe). Ensuite, début juin, nous avons publié un rapport commandé par le Center for Strategic and International Studies, intitulé Net Losses Estimating the Global Cost of Cybercrime (Pertes sèches Estimation du coût global de la cybercriminalité). Tous ces rapports illustrent les efforts consentis par McAfee pour devenir la source la plus respectée du secteur en matière de connaissances et de perspectives sur le cyberespionnage. Vincent Weafer, Vice-Président Directeur, McAfee Labs Rapport de McAfee sur le paysage des menaces Juin 2014 2

Sommaire Rapport de McAfee Labs sur le paysage des menaces Juin 2014 Ce rapport a été préparé et rédigé par : Benjamin Cruz Deepak Gupta Aditya Kapoor Haifei Li Charles McFarland Francisca Moreno François Paget Craig Schmugar Rick Simon Dan Sommer Bing Sun James Walter Adam Wosotowsky Chong Xu Résumé 4 Points marquants L'attaque des clones de Flappy Bird 6 Pas un problème «mineur» 8 Les rootkits semblent rebondir 11 Les logiciels malveillants sur mobiles exploitent les failles des plates-formes, applications et services 16 Statistiques sur les menaces Logiciels malveillants sur mobiles 19 Logiciels malveillants 20 Menaces Internet 23 Menaces propagées par la messagerie 25 Menaces réseau 26

Résumé Résumé Les cybercriminels ont créé de centaines de clones de Flappy Bird dissimulant des logiciels malveillants. Sur notre échantillon de 300 clones de Flappy Bird, 238 contenaient des logiciels malveillants. Pour McAfee Labs, les vendeurs de robots mènent leurs clients en bateau lorsqu'ils affirment que les opérateurs de réseaux de robots peuvent miner des monnaies virtuelles de manière rentable. Après le déclin du nombre de nouveaux rootkits observé depuis 2011, McAfee Labs s'attend à une inversion prochaine de cette tendance. McAfee Labs démontre au travers de plusieurs exemples que les dispositifs de protection des plates-formes mobiles sont insuffisants. Les développeurs d'applications mobiles doivent veiller à mieux protéger leurs applications, et les utilisateurs faire preuve d'une plus grande vigilance au moment d'octroyer des autorisations aux applications. L'attaque des clones de Flappy Bird Ce titre pourrait prêter à sourire, mais les conséquences de cette attaque n'en sont pas moins désastreuses. A la fin de l'année dernière et au début de cette année, le jeu pour mobiles Flappy Bird a connu un véritable engouement, avant d'être retiré par son créateur en février. Séduits par sa popularité, d'audacieux cybercriminels ont développé des centaines de clones de Flappy Bird, infestés de logiciels malveillants. McAfee Labs a examiné 300 de ces clones et a découvert que près de 80 % d'entre eux contenaient du malware. Parmi les comportements décelés, citons le passage d'appels sans l'autorisation de l'utilisateur ; l'envoi, l'enregistrement et la réception de SMS ; l'extraction des données de contact et le suivi de la géolocalisation. Dans les pires cas, les logiciels malveillants avaient pris le contrôle en tant que superutilisateur, offrant à leurs auteurs la totale maîtrise du moindre élément de l'équipement, notamment des informations professionnelles confidentielles. Pas un problème «mineur» McAfee Labs a consacré plusieurs rapports aux monnaies virtuelles, dont Le blanchiment numérique, Jeux de hasard en ligne et blanchiment d'argent : une combinaison gagnante et le Rapport de McAfee Labs sur le paysage des menaces : 3 e trimestre 2013. Ce trimestre, nous explorons un aspect des monnaies virtuelles qui nous plonge dans une profonde perplexité. Désormais, nous rencontrons des réseaux de robots malveillants comportant des fonctionnalités de «minage» de monnaie. Toutefois, en étudiant la question de plus près, il est peu probable que les opérateurs de ces réseaux puissent réellement augmenter leurs profits en activant la fonctionnalité de minage de monnaie virtuelle. Selon nous, les seuls qui aient vraiment quelque chose à y gagner sont ceux qui vendent ces outils. Les rootkits semblent rebondir Bonne nouvelle... du moins, le croyions-nous. Depuis mi-2011, McAfee Labs observait un recul dans le nombre de nouveaux rootkits. A dire vrai, au trimestre dernier, nous avons même enregistré le nombre de nouveaux rootkits le plus faible depuis 2008. Ce déclin était vraisemblablement lié à la protection supérieure offerte par les microprocesseurs 64 bits et les systèmes d'exploitation correspondants. Mais les cybercriminels ne manquent pas de ressources. De fait, ce trimestre, nous avons vu la tendance s'inverser à nouveau, même si ce changement ne concernait qu'une seule famille de logiciels malveillants 32 bits. Les cybercriminels ont appris à pirater les certificats numériques au niveau superutilisateur, à exploiter les vulnérabilités existantes des noyaux et à déjouer les protections 64 bits. Nous pensons que les nouvelles techniques de contournement 64 bits conduiront bientôt à une hausse des attaques reposant sur les rootkits. Les logiciels malveillants sur mobiles exploitent les failles des plates-formes, applications et services Pour cet article, nous avons rassemblé plusieurs vignettes mettant en lumière la manière dont les logiciels malveillants peuvent exploiter de manière abusive les plates-formes mobiles. Le premier exemple montre comment une application proposée sur Google Play télécharge, installe et lance automatiquement d'autres applications sans l'autorisation de l'utilisateur. En l'occurrence, l'application contrevenante n'a pas téléchargé de logiciels malveillants mais a tiré profit d'un système de paiement au téléchargement. Toutefois, il ne faudra pas longtemps pour que ce type d'application en télécharge automatiquement d'autres, truffées de logiciels malveillants. Dans un autre exemple, un cheval de Troie exploite une faille de sécurité dans un service de portemonnaie numérique légitime pour subtiliser de l'argent. Enfin, un troisième exemple décrit comment une lacune dans le chiffrement de l'application de messagerie WhatsApp a été utilisée pour dérober messages et photos. Bien que la vulnérabilité soit désormais corrigée, ce cas laisse entrevoir comment les attaques continueront à cibler les failles des plates-formes mobiles. Au 1 er trimestre 2014, le nombre total d'échantillons de logiciels malveillants de la «collection» de McAfee Labs a franchi la barre des 200 millions. Rapport de McAfee sur le paysage des menaces Juin 2014 4

Points marquants du trimestre Rapport de McAfee sur le paysage des menaces Juin 2014 5

Points marquants L'attaque des clones de Flappy Bird Une fois encore, nous constatons que l'ingénierie sociale, couplée au tout dernier jeu à la mode, peut donner naissance à des myriades de logiciels malveillants. La dernière invasion en date a pris la forme d'une nuée de clones malveillants de «Flappy Bird». Le jeu «Flappy Bird» d'origine a fait son apparition à la mi- 2013 sur Apple ios et au début de cette année sur Android. Il a remporté un succès colossal, avec plus de 50 millions de téléchargements à son actif, et fait la renommée de son développeur Dong Nguyen, avant que celui-ci décide de retirer son application du marché en février. Dans les derniers Rapports de McAfee Labs sur le paysage des menaces, nous avons fait état de l'explosion des logiciels malveillants sur mobiles. L'engouement pour Flappy Bird, et la vague de logiciels malveillants qui a suivi, constituent un excellent exemple de l'exploitation de l'enthousiasme débridé des utilisateurs à l'égard de certains jeux et applications légitimes. Des clones malveillants de Flappy Bird avaient déjà fait leur apparition avant son retrait des sites de vente en ligne, mais ce n'est qu'après celui-ci que la demande en jeux analogues a augmenté. Au cours du premier trimestre 2014, nous avons vu émerger des centaines de clones de Flappy Bird, dont la majorité était malveillante. Jeu Flappy Bird d'origine Autre clone malveillant de Flappy Bird Clone malveillant de Flappy Bird Rapport de McAfee sur le paysage des menaces Juin 2014 6

Points marquants Vers la fin du premier trimestre, McAfee Labs a analysé un échantillon de 300 de ces clones enregistrés dans sa «collection» de logiciels malveillants sur mobiles. Sur ceux-ci, 238 ont été jugés malveillants. Au vu de la vitesse à laquelle ces applications malveillantes prolifèrent, et le nombre de fois qu'elles ont été téléchargées, la situation a de quoi effrayer. Que font ces applications malveillantes? Outre le fait d'utiliser Flappy Bird comme appât d'ingénierie sociale, ils recèlent bien plus de fonctionnalités que le jeu d'origine. En fait, ils sont capables de nombreux comportements douteux, dommageables et invasifs. Lorsque l'on examine la dangerosité d'une application ou d'un package pour mobiles, il apparaît que certains comportements sont plus inquiétants que d'autres. L'exemple ci-dessous en témoigne : com.touch18.flappybird. app (3113ad96fa1b37acb50922ac34f04352) est l'un des nombreux clones malveillants de Flappy Bird. Entre autres comportements malveillants, ce clone : passe des appels sans l'autorisation de l'utilisateur ; installe des applications supplémentaires sans l'autorisation de l'utilisateur ; permet à une application de surveiller les SMS entrants, et de les enregistrer ou de les traiter (autorisation non déclarée) ; envoie des SMS sans l'autorisation de l'utilisateur ; extrait des SMS ; envoie des données à un numéro de portable via SMS ; permet à une application de lire les données de contact de l'utilisateur (autorisation non déclarée) ; extrait la position GPS (latitude et longitude) ; lit le numéro IMEI et l'adresse MAC et les communique à des tiers (JSON) sans l'autorisation de l'utilisateur ; envoie les données d'activité de l'utilisateur à des sites tiers ; permet à une application d'appeler la chaîne killbackgroundprocesses(string) (autorisation non déclarée). Clone malveillant de Flappy Bird tentant d'obtenir un accès superutilisateur Comme nous l'indiquons ailleurs dans le présent rapport, les logiciels malveillants sur mobiles continuent à proliférer à toute allure et deviennent de plus en plus efficaces. Les terminaux mobiles sont des cibles faciles pour les cyberpirates. Nous devons faire preuve de diligence et d'une vigilance de chaque instant à l'égard de nos propres comportements afin de prévenir l'installation de code malveillant. La réduction des risques via des contrôles logiciels (protection antimalware, conteneurs sécurisés, etc.) ne constitue qu'une étape. Soyez attentif aux sources auprès desquelles vous rencontrez, obtenez ou installez des applications et des jeux. Faites preuve de bon sens et veillez à l'intégrité et à la sécurité de vos terminaux mobiles. Clone malveillant de Flappy Bird baptisé com.touch18.flappybird.app Rapport de McAfee sur le paysage des menaces Juin 2014 7

Points marquants Pas un problème «mineur» Du point de vue des chercheurs spécialisés dans la sécurité et les logiciels malveillants, les activités liées aux monnaies virtuelles viennent de prendre une tournure intéressante. Nous assistons actuellement à l'émergence de réseaux de robots dotés de diverses fonctionnalités de minage des monnaies virtuelles. Or, même à supposer que les coûts matériels et la puissance de calcul soient nuls pour leurs développeurs (puisqu'ils sont supportés par les victimes), la complexité des algorithmes de minage courants et l'absence de spécialisation des matériels contaminés par ces logiciels malveillants semblent ne pas en valoir la chandelle. Pour faire simple, disons que les vendeurs de robots mènent leurs clients en bateau lorsqu'ils leur affirment qu'ils pourront miner des monnaies virtuelles de manière rentable. Par ailleurs, les opérateurs de réseaux de robots prennent le risque d'être démasqués, étant donné que leurs victimes sont plus susceptibles de repérer une activité aussi gourmande en ressources que le minage. Depuis de nombreuses années, l'appât du gain est le moteur du secteur des réseaux de robots. Il y a beaucoup d'argent à gagner pour les auteurs de logiciels malveillants, kits et exploits, ainsi que pour ceux qui les achètent et mettent en place leurs propres réseaux de robots. Récemment, un nouvel élément a fait son apparition dans le paysage : la marchandisation du minage des monnaies virtuelles en tant que fonction centrale des réseaux de robots. Nous constatons que cette fonctionnalité est désormais intégrée dans des plates-formes populaires, notamment sur les mobiles. Ce phénomène n'est pas sans rappeler de précédentes innovations en matière de réseaux de robots et de logiciels malveillants, comme l'avènement des attaques par déni de service distribué (DDoS), la persistance des installations, les mécanismes de mise à jour privée ou le contournement actif des dispositifs de détection. Prenez le temps de parcourir les forums de sécurité ou sites de téléchargement clandestins, et vous trouverez une multitude de réseaux de robots «mineurs» SHA-256 et SCRYPT, de générateurs ou de versions craquées de générateurs et kits commerciaux, en plus de la cohorte habituelle de robots DDoS, outils de chiffrement et autres services et outils peu scrupuleux. Parmi les exemples récents, citons EnvyMiner, DeadCow, SovietMiner, JHTTP, Black Puppet et Aura. Mais il ne s'agit là que d'une infime fraction de ce qui existe. Quelques exemples de générateurs ou services et leurs prix : Aura (SHA-256, SCRYPT, SCRYPT-Jane miner) : 50 USD pour une licence à vie Black Puppet (Bitcoin) : 10 USD par mois ou 20 USD à vie HTTP (SHA-256, SCRYPT) : 50 USD par mois ou 200 USD à vie Algorithmes de hachage des cryptomonnaies SHA-256 : standard du NIST, cette fonction de hachage cryptographique est utilisée à des fins de minage. Il s'agit de la méthode la plus complexe. Pour réussir, le minage nécessite des ressources informatiques spécialisées ou distinctes (ASIC). Exemples : Bitcoin, Namecoin. SCRYPT : fonction de dérivation de clé simplifiée utilisée pour le minage. Cette méthode bénéficie d'un traitement basé sur un processeur graphique hautes performances. Exemples : Litecoin, Dogecoin, Vertcoin. SovietMiner (SHA-256, SCRYPT) : 15 USD par mois DeadCow (SHA-256, SCRYPT) : 15 USD par mois ou 45 USD à vie Un grand nombre des boîtes à outils et robots mineurs les plus populaires ont été rendus publics ou craqués, permettant à d'autres d'utiliser ces outils sans les restrictions associées aux licences. Application Chrome Miner ayant fait l'objet de fuites Rapport de McAfee sur le paysage des menaces Juin 2014 8

Points marquants de plus, elle rend beaucoup plus visible la présence ou l'empreinte du robot sur les machines contaminées. Cette évolution est intéressante, en ce sens que la fonctionnalité de minage des monnaies virtuelles n'accroît pas les bénéfices des opérateurs de réseaux de robots. En effet, le minage des monnaies virtuelles est rendu plus difficile et plus gourmand en ressources à mesure que davantage de mineurs viennent s'ajouter à l'écosystème. Au niveau de difficulté actuel, il est peu probable qu'un opérateur de réseaux de robots obtienne davantage de profits en ajoutant une fonctionnalité de minage des données à la panoplie de ses attaques existantes. Diverses variables affectent la rentabilité du minage de données virtuelles, notamment le rythme auquel la difficulté augmente 1, le taux de hachage 2, la valeur marchande de la monnaie virtuelle et l'attrition. Dans l'écosystème des réseaux de robots, le phénomène d'attrition, c'est-à-dire les retraits de mineurs, survient lorsque le logiciel malveillant est détecté ou supprimé parce que sa présence sur la machine devient observable. Application Aura Miner ayant fait l'objet de fuites Comme pratiquement tout kit ou générateur, la plupart des fonctionnalités de minage des monnaies virtuelles peuvent être personnalisées et configurées. Le degré de granularité possible va jusqu'à la maîtrise de la température maximale admissible du processeur pendant le minage. Le minage est très gourmand en ressources, de sorte qu'il convient, pour rester discret, de brider la fonctionnalité. Cette restriction amoindrit le retour sur investissement global de ces robots ; Les bénéfices des opérateurs de réseaux de robots peuvent être calculés sur la base du taux de hachage moyen (calculé entre GPU et processeurs grand public et professionnels), l'attrition, la complexification estimée et le nombre de contaminations, entre autres variables. Ainsi, un réseau de minage de monnaies virtuelles comportant 10 000 robots persistants, opérant à un taux de hachage cumulé moyen de 100 mégahashes par seconde, avec un retrait de 5 % suite à des détections ou à une protection accrue à chaque cycle de difficulté, et une valeur du Bitcoin de 500 USD donnerait le graphique suivant : Rapport de McAfee sur le paysage des menaces Juin 2014 9

Points marquants Le graphique qui précède montre la différence potentielle de rentabilité entre l'exploitation d'un réseau de robots avec et sans fonctionnalité de minage du Bitcoin. Cet écart est illustré sur plusieurs cycles de difficulté du Bitcoin, correspondant à une période d'environ deux semaines à chaque fois. Dans cet exemple, l'ajout du minage de monnaies virtuelles réduit les bénéfices potentiels en raison du nombre supérieur de robots qui doivent être retirés (attrition) et du temps qui n'est pas consacré à des tâches plus lucratives tels que le vol de mots de passe ou de numéros de carte de crédit. A noter que ce graphique ne suppose qu'une perte de 5 % dans les rangs des robots, ce qui est beaucoup trop faible. Le minage de monnaies virtuelles basé sur SCRYPT (p. ex. Litecoin ou Dogecoin) est en proie aux mêmes problèmes. Cette incapacité à générer des profits est encore plus étonnante lorsque les robots concernés tournent sur des plates-formes mobiles. Parmi les exemples récents de minage sur Android, citons Zorenium, BadLepricon et Songs. Les plates-formes mobiles présentent deux écueils. Tout d'abord, leurs processeurs sont plus lents que ceux des ordinateurs portables ou de bureau. Ensuite, le taux d'attrition sur les plates-formes mobiles est probablement nettement plus élevé, du fait notamment de la durée de vie limitée de la batterie et du risque accru de blocage de ces terminaux, compte tenu de la nature intensive du minage de monnaies virtuelles. Impossible, dès lors, d'enregistrer un bénéfice significatif sur une plateforme mobile standard, à moins d'avoir un taux d'attrition exagérément faible. Dans l'exemple hypothétique d'un réseau regroupant 10 000 robots, les bénéfices sans le minage s'élève à 11 000 USD, contre 11 007,61 USD avec la fonctionnalité de minage. Soit un gain d'à peine 7,61 USD. En se fondant sur un taux d'attrition totalement irréaliste de 0,25 %. Avec un taux d'attrition plus réaliste s'élevant à 30 %, on obtient une perte de 3 265 USD en termes de profits potentiels. Le minage de monnaies virtuelles via des réseaux de robots s'est généralisé. Cette fonctionnalité est fournie en standard dans de nombreux générateurs et boîtes à outils sur de nombreuses plates-formes. Toutefois, le doute est permis quant à la rentabilité de cette pratique, eu égard aux ressources qu'exigent les algorithmes de minage. Les vendeurs de logiciels malveillants peu scrupuleux semblent pourtant extrêmement déterminés à ne pas laisser le moindre profit leur échapper. Songs, l'application de minage Android Cycle de difficulté du Bitcoin La difficulté est une mesure permettant de quantifier le travail (traitement) requis pour générer des chaînes de blocs. La difficulté du Bitcoin est ajustée tous les 2 016 blocs (ce qui correspond à une période de deux semaines environ). Rapport de McAfee sur le paysage des menaces Juin 2014 10

Points marquants Les rootkits semblent rebondir Début 2011, les rootkits ont atteint des taux record. Depuis lors, McAfee Labs a constaté un retour à des niveaux plus modestes, les chiffres du trimestre dernier étant les plus bas enregistrés depuis 2008. Nous attribuons ce déclin à l'adoption des microprocesseurs 64 bits, qui rendent plus difficiles les attaques à l'encontre du noyau du système d'exploitation. Les auteurs d'attaque ont toutefois commencé à mettre au point de nouvelles solutions pour contourner les défenses des systèmes 64 bits. Les infections par des rootkits ont connu une recrudescence ce trimestre, même si cette situation est essentiellement due à une famille unique de logiciels malveillants 32 bits, ce qui pourrait constituer une anomalie. Les cybercriminels recourent à diverses tactiques pour contourner les défenses des systèmes 64 bits : piratage de certificats numériques, exploitation des vulnérabilités du noyau, création de sociétés écrans pour la signature numérique des rootkits et attaques des mécanismes de sécurité des systèmes d'exploitation. Nous pensons que ces techniques et d'autres entraîneront une hausse des attaques par rootkit. Le nombre d'échantillons de rootkits recueillis par McAfee Labs a diminué entre 2011 et 2012, et est resté relativement stable depuis lors. Nous nous attendons à une recrudescence des échantillons de rootkits puisque les pirates ont appris à contourner les mécanismes de protection des systèmes 64 bits. La sécurité des plates-formes : un obstacle pour les rootkits La diminution marquée du nombre d'échantillons de rootkits (voir graphique) s'attaquant à Windows il y a quelques années est généralement imputée à l'adoption plus large des plates-formes 64 bits. Les microprocesseurs et systèmes d'exploitation 64 bits sont conçus de façon à renforcer la sécurité des systèmes grâce à des mesures telles que la vérification des signatures numériques et la protection contre la modification du noyau (destinée à contrer les logiciels tentent de s'exécuter au sein du noyau avec le niveau de privilèges le plus élevé). Les microprocesseurs 64 bits ont commencé à apparaître en masse au milieu des années 2000 et sont désormais installés sur la plupart des systèmes. Les microprocesseurs Intel Core i3, i5 et i7 mettent en œuvre le jeu d'instructions 64 bits. Rapport de McAfee sur le paysage des menaces Juin 2014 11

Points marquants Outre cette diminution du nombre d'échantillons, nous avons également constaté une baisse considérable des techniques utilisées par les rootkits pour obtenir des privilèges de niveau noyau. Les cybercriminels ne parviennent plus à pirater le noyau aussi facilement que par le passé, ou même à installer des pilotes de périphérique malveillants. Ces mécanismes de protection ont clairement augmenté les coûts de développement et de déploiement de rootkits sur les plates-formes 64 bits. Pourquoi les rootkits représentent-ils un tel danger? Parce qu'ils utilisent des techniques de furtivité pour infecter les systèmes, ce qui leur permet de rester cachés et d'éventuellement dérober des informations sur une longue période. Une période d'infection prolongée augmente les chances pour les auteurs d'attaque de voler ou de détruire des informations personnelles et des données d'entreprise. Contournement des obstacles Les obstacles mis en place par les systèmes 64 bits s'apparentent aujourd'hui à de simples ralentisseurs pour les cybercriminels parfaitement organisés, qui ont d'ores et déjà trouvé le moyen d'accéder au noyau. L'exemple le plus récent de détournement malveillant nous est offert par le rootkit Uroburos 3, qui a échappé à la détection pendant trois ans. Uroburos a profité d'une vulnérabilité connue d'un ancien pilote de noyau de VirtualBox (machine virtuelle fournie par Oracle), qui disposait d'une signature numérique valide. Il a exploité cette vulnérabilité du pilote pour désactiver la fonction de vérification des certificats numériques du système d'exploitation et charger son logiciel malveillant non signé. Une fois chargé dans le noyau, le logiciel malveillant a désactivé PatchGuard, la fonction de protection contre la modification du noyau introduite dans le système d'exploitation Windows 64 bits. Or PatchGuard a pour mission de prévenir les altérations du noyau, une technique souvent utilisée par les cybercriminels. Rapport de McAfee sur le paysage des menaces Juin 2014 12

Points marquants Abus de confiance Outre l'exploitation des vulnérabilités de pilotes tiers pour accéder au noyau, une autre technique permet aux cybercriminels d'injecter du code malveillant sur les systèmes 64 bits : le vol pur et simple de clés privées. L'utilisation d'une signature numérique valide permet également de contourner les dispositifs de sécurité. Nous avons constaté une hausse considérable des différents types de fichiers binaires malveillants utilisant des signatures numériques (voir les graphiques). Les nouveaux fichiers binaires malveillants signés demeurent un mode d'attaque populaire. Pour preuve, leur hausse de 46 % ce trimestre. Rapport de McAfee sur le paysage des menaces Juin 2014 13

Points marquants Nous avons analysé des données couvrant les deux dernières années afin de déterminer le nombre de rootkits 64 bits ayant utilisé des certificats numériques volés connus. Nous avons fait les découvertes suivantes : Depuis janvier 2012, au moins 21 échantillons de rootkit 64 bits uniques ont utilisé des certificats volés. Depuis 2012, le logiciel malveillant W64/Winnti a dérobé au moins cinq clés privées appartenant à des fournisseurs légitimes dans le but d'installer son rootkit sur des systèmes 64 bits. Sur les cinq, au moins deux n'ont pas été révoquées et pourraient être toujours utilisées à ce jour à des fins légitimes et malveillantes. Au moins un rootkit (W64/Korablin) a été utilisé dans le cadre de l'exploit de type «jour zéro» CVE-2013-0633, une attaque qui pourrait avoir été perpétrée par des pirates financés par des Etats. Elévation des privilèges et vulnérabilités de type «jour zéro» du noyau Le nombre de bogues de type élévation des privilèges a augmenté ces dernières années. Ce phénomène touche également le noyau 64 bits, même s'il est davantage sécurisé (voir le graphique). En conséquence, les chercheurs ont adopté une méthodologie plus sophistiquée pour détecter les vulnérabilités de type «jour zéro» dans le code du noyau. Pour identifier les failles du code du noyau, les chercheurs développent aujourd'hui des outils ciblés créant des situations de concurrence critique de type double accès (double fetch). L'expérience nous a appris que, dès que la communauté des chercheurs entreprend une tâche de ce genre, les répercussions sur le paysage des menaces ne tardent pas à se faire sentir. D'après la base de données National Vulnerability Database, le nombre de nouvelles vulnérabilités affectant le noyau pour l'ensemble des versions de Windows a augmenté de plus de 33 % en 2013. Rapport de McAfee sur le paysage des menaces Juin 2014 14

Points marquants Les données qui précèdent concernent uniquement le noyau et les composants connexes de Microsoft. Toutefois, les composants de noyaux tiers dotés de signatures numériques valides présentent également de nombreuses vulnérabilités. Nous pensons que la nouvelle vague d'attaques par rootkit tentera d'exploiter ce nombre croissant de vulnérabilités pour s'insinuer dans le noyau et en prendre le contrôle. Bien que les microprocesseurs et les systèmes d'exploitation Windows 64 bits aient introduit de nombreuses nouvelles mesures de sécurité, aucun système de défense n'est efficace à 100 %. Pour peu que les cybercriminels disposent des moyens financiers et de la motivation nécessaires, aucun système ne leur résistera. Les systèmes 64 bits devraient bientôt faire face à une augmentation des attaques de logiciels malveillants dotés d'une signature numérique valide, car il semblerait que ce soit le moyen le plus facile de tirer parti des certificats numériques volés. Nous ne pouvons pas nous appuyer exclusivement sur les microprocesseurs ou les systèmes d'exploitation pour mettre en place des obstacles, car ceux-ci sont voués à être tôt ou tard contournés. La meilleure façon d'arrêter les attaques sur le noyau consiste à utiliser des mécanismes de défense complets alliant solutions matérielles et logicielles, associées à divers systèmes de protection du réseau et des postes clients. Rapport de McAfee sur le paysage des menaces Juin 2014 15

Points marquants Les logiciels malveillants sur mobiles exploitent les failles des plates-formes, applications et services La plupart des logiciels malveillants sur mobiles exploitent des API de plates-formes standard pour tenter de dérober des informations sensibles ou d'envoyer des SMS surtaxés. En réalité, les logiciels malveillants exploitent les fonctions officielles fournies par la plate-forme. Récemment, les développeurs de logiciels malveillants ont commencé à exploiter les fonctionnalités ou les vulnérabilités des platesformes, mais aussi d'applications et de services légitimes. Une application exploite les fonctions d'authentification et d'autorisation des comptes Google McAfee a découvert sur Google Play une application Android suspecte, Android/BadInst.A ; celle-ci télécharge, installe et lance automatiquement d'autres applications sans l'autorisation de l'utilisateur, laquelle est généralement requise lors de l'installation manuelle d'applications depuis Google Play 4. Cette procédure de confirmation au moment de l'installation joue un rôle déterminant dans la protection des plates-formes mobiles. Autoriser les applications à ignorer ce processus pose donc un risque majeur pour les utilisateurs de terminaux mobiles, et peut notamment conduire à l'installation silencieuse de logiciels malveillants plus dangereux. Le protocole de communication utilisé entre le serveur Google Play et l'application de service équivalente sur les terminaux mobiles aux fins du téléchargement et de l'installation automatiques d'applications n'est pas documenté. Cette procédure non officielle n'est pas destinée à être utilisée par des applications tierces. Nous soupçonnons le développeur d'android/badinst.a d'avoir procédé à l'ingénierie inverse du protocole et d'avoir mis en œuvre les mêmes procédures dans l'application suspecte. Il a par ailleurs été établi que les jetons d'autorisation obtenus peuvent servir pour des services Google autres que Google Play. Les logiciels malveillants qui exploitent ce mécanisme d'autorisation de compte Google pourraient dès lors facilement provoquer des fuites d'informations et l'exécution, sur divers services Google, d'actions au nom d'utilisateurs dont l'identité a été usurpée. Android/BadInst.A récupère le nom de compte Google de l'utilisateur du terminal, pour ensuite lui demander l'autorisation d'accéder à divers services Google. Pour ce faire, il utilise AccountManager, une API Android standard, en combinaison avec les autorisations correspondantes octroyées. L'application communique ensuite avec le serveur Google Play en utilisant les jetons d'autorisation octroyés de manière non officielle. Enfin, l'application télécharge, installe et lance d'autres applications publiées sur Google Play sans aucune intervention de l'utilisateur. Android/BadInst.A, un logiciel malveillant en langue japonaise, demande aux utilisateurs d'autoriser l'accès à divers services Google. Rapport de McAfee sur le paysage des menaces Juin 2014 16

Points marquants Des logiciels malveillants exploitent un service de portefeuille numérique et une application de messagerie populaire Le cheval de Troie Android/Waller.A exploite une faille de sécurité d'un service de portefeuille numérique légitime pour voler de l'argent 5. Pour ce faire, il se sert du protocole de transfert d'argent utilisé par Visa QIWI Wallet. Pour amener l'utilisateur à l'installer, ce logiciel malveillant se fait passer pour une mise à jour d'adobe Flash Player ou un autre utilitaire légitime. Une fois installé, il disparaît ensuite de l'écran d'accueil. A l'arrièreplan, le logiciel malveillant vérifie si le propriétaire du terminal dispose d'un compte de portefeuille numérique et le solde de celui-ci, intercepte la réponse de confirmation et transfère l'argent au serveur de l'auteur de l'attaque. Dans le cas présent, le logiciel malveillant exploite le protocole qui permet l'exécution de ces étapes par SMS sans exiger d'authentification suffisante, réussissant ainsi à se faire passer pour l'application officielle. McAfee Labs a également mis au jour le cheval de Troie Android/ Balloonpopper.A, qui exploite une faille du mécanisme de chiffrement de WhatsApp, une application de messagerie populaire 6. Ce logiciel malveillant se fait passer pour BalloonPop, une application de jeu, dans le but de voler des conversations et des photos WhatsApp stockées sur le terminal et de les envoyer en secret au serveur distant de l'instigateur de l'attaque, où elles seront ensuite déchiffrées, puis rendues publiques sur le site web du pirate 7. Bien que cette vulnérabilité soit désormais corrigée, on doit s'attendre à ce que les cybercriminels se mettent en quête d'autres failles de cette application bien connue. Le site web de l'auteur de l'attaque peut divulguer les conversations WhatsApp recueillies. Les plates-formes et les applications ont besoin d'une protection Comme on peut le voir dans ces exemples, les logiciels malveillants sur mobiles ont récemment commencé à utiliser des applications et services légitimes, ainsi que les fonctionnalités standard des plates-formes, pour contourner les mécanismes de surveillance traditionnels mis en place par les boutiques d'applications et les produits de sécurité. Protéger uniquement la plate-forme sous-jacente ne suffit donc plus. Les développeurs doivent protéger leurs applications et services contre toute utilisation non autorisée et malveillante. Les boutiques d'applications doivent en outre s'assurer que seules les applications client authentifiées et autorisées accèdent aux données. La mise en place de telles mesures est cruciale lorsqu'une application dispose de privilèges supérieurs à la normale ou traite des transactions bancaires, des paiements ou d'autres données extrêmement sensibles. Les utilisateurs doivent éviter d'octroyer des autorisations excessives ou inhabituelles au moment de l'installation et de l'exécution. Ils doivent en outre mettre à jour leurs applications afin de corriger les problèmes de sécurité dès que des vulnérabilités sont identifiées et éviter impérativement les applications connues pour présenter des risques. Le logiciel malveillant Android/Waller.A s'est fait passer pour Adobe Flash Player. Rapport de McAfee sur le paysage des menaces Juin 2014 17

Statistiques sur les menaces Rapport de McAfee sur le paysage des menaces Juin 2014 18

STATISTIQUES SUR LES MENACES Logiciels malveillants sur mobiles En l'espace d'une année seulement, le nombre total d'échantillons de logiciels malveillants sur mobiles a augmenté de 167 %. Depuis le Rapport de McAfee Labs sur le paysage des menaces du 3 e trimestre 2013, nous sommes passés d'un décompte de familles de logiciels malveillants à un décompte d'échantillons uniques (nombre de hachages) pour établir nos rapports sur les logiciels malveillants sur mobiles. Nous avons pris cette décision pour deux raisons. Premièrement, nous voulions que la méthode utilisée pour les logiciels malveillants sur mobiles soit cohérente avec celle employée pour dénombrer tous les logiciels malveillants. Deuxièmement, en rapportant le nombre total de variantes au lieu du nombre total de familles de logiciels malveillants sur mobiles, nous présentons un tableau plus précis de l'impact des logiciels malveillants sur mobiles sur les utilisateurs. Rapport de McAfee sur le paysage des menaces Juin 2014 19

STATISTIQUES SUR LES MENACES Logiciels malveillants Les logiciels malveillants poursuivent leur progression implacable. Au 1 er trimestre 2014, le nombre total d'échantillons de logiciels malveillants de la «collection» de McAfee Labs a franchi la barre des 200 millions. Rapport de McAfee sur le paysage des menaces Juin 2014 20