Brièveté et furtivité caractérisent les menaces en ligne d'après AVG
lun, 02/02/2009 - 15:13
AVG Technologies, fournisseur de solutions de sécurité Internet, a publié des statistiques donnant une image inquiétante de l'évolution des menaces Web. Selon ces statistiques, La principale caractéristique des infections en ligne d'aujourd'hui est leur brièveté : près de 60 % des sites qui lancent ce qu'il est convenu d'appeler des téléchargements "drive-by" ou des attaques de manipulation psychologique sont infectieux une journée ou moins. Mesurées au niveau des pages plutôt que des sites, 74 % à 86 % des pages sont infectées une journée ou quelques heures seulement.
Les téléchargements « drive-by » sont des infections du système des visiteurs par des logiciels malveillants, sans que ces utilisateurs n'aient quoi que ce soit à faire : il n'est même pas nécessaire qu'ils cliquent sur un lien pour que leur machine soit infectée par un programme qui dérobera des mots de passe, des coordonnées de compte bancaire, etc.
Cette brièveté fait que, tout utilisateur d'un logiciel de protection reposant sur les signatures virales classiques ou des vérifications périodiques centralisées des millions de sites Internet actifs est entièrement démuni lorsqu'il visite un site transmettant ces infections transitoires. Une recherche plus approfondie de types d'infections spécifiques a permis à AVG de faire les constats suivants :
• 94 % des sites qui distribuent des attaques de type "faux codecs", c'est-à-dire proposant aux utilisateurs un codec ou un outil de conversion vidéo pour voir ou télécharger une vidéo particulière, mais qui est en réalité un logiciel malveillant, sont généralement actifs pendant moins de 10 jours, 62 % étant actifs moins d'un jour. L'illustration A ci-dessous est révélatrice de ce taux d'infection considérable.
• 91 % des sites qui distribuent des attaques en provenance de Chine, et qui dérobent très souvent des données apparemment inoffensives telles que des mots de passe du jeu World of Warcraft afin de les revendre sur des sites tels qu’eBay, sont généralement actifs pendant moins de 12 jours, près de 50 % étant actifs moins d'une journée.
• 72 % des sites qui distribuent de faux produits de protection contre les logiciels espions, déposent des logiciels espions sur la machine de l’utilisateur et lui proposent de les supprimer moyennant le paiement d'une redevance. Ils sont généralement actifs pendant moins de deux semaines, 28 % étant actifs moins d'une journée.
Figure A : nombre de jours d'activité des infections par faux codecs
D'autres imbrications intéressantes permettent de savoir comment ces pirates opèrent. Dans un exemple cité, les données montrent que les cyber-criminels utilisant de faux codecs consomment 4,6 fois plus de pages uniques que ceux qui ont recours à de faux produits de protection contre les logiciels espions. Cependant, ces données montrent également que les faux produits de protection contre les logiciels espions touchent 68 % plus d’utilisateurs que les faux codecs. Cela donne à penser que les attaques de logiciels espions sont généralement plus efficaces que les faux codecs. Elles sont également plus susceptibles d'échapper à la détection par des solutions de vérification périodique centralisée.
Selon Karel Obluk, directeur technique d'AVG Technologies, « les cyber-infections d'aujourd'hui se caractérisent par un comportement de type "aujourd'hui ici, demain parti". Tout produit de sécurité Web qui vérifie les sites Internet pour fournir un indice de sécurité relatif à ses utilisateurs, devrait visiter chacun des centaines de millions de sites actifs pour assurer une protection réelle contre ces menaces. Notre récente acquisition de la technologie d'analyse comportementale de Sana Security a permis d'ajouter une couche de protection supplémentaire contre les menaces nouvelles et inconnues. »
Le taux d'apparition de ces sites "aujourd'hui ici, demain parti" est également en hausse. Au cours des trois derniers mois seulement, les chercheurs d'AVG ont vu le nombre de nouveaux sites infectieux uniques passer de 100 000-200 000 par jour à 200 000-300 000 par jour, et cette tendance semble devoir se poursuivre. La figure B ci-dessous illustre cette tendance à la hausse.
Figure B : nouvelles URL infectées détectées quotidiennement
Il apparaît que le nombre d'URL uniques augmente en partie parce que les cyber-criminels utilisent de plus en plus des jetons de chaîne de requête pour cibler individuellement les utilisateurs. Les chercheurs d'AVG poursuivent donc leurs investigations autour de cette tendance inquiétante.
Bien évidemment, l'utilisation de l'Internet pour distribuer des infections n'a rien de nouveau. Les pirates informatiques s'efforcent, depuis des années, d'amener les utilisateurs à télécharger des programmes qui déroberont des informations précieuses pour les leur communiquer. Ce qui est nouveau, en revanche, c'est que le crime organisé exploite désormais des logiciels malveillants achetés à des pirates sur l'un des nombreux "marchés de logiciels malveillants" aujourd'hui en ligne. Il sélectionne soigneusement un dispositif impossible à repérer, tel que le placement aléatoire d'une bannière publicitaire consortiale, afin de distribuer les leurres.
Les informations transitoires, qui changent rapidement, sont également une caractéristique des réseaux sociaux. Les cyber-criminels ont trouvé là un terrain fertile, des messages ou des bulletins provenant "d'amis" invitant les utilisateurs à visiter des sites malveillants, qui téléchargent alors un logiciel malveillant en arrière-plan. Les liens vers de la musique ou de la vidéo produite par des utilisateurs peuvent inviter les visiteurs à télécharger l'un de ces faux codecs. Si cela n'a rien d'extraordinaire dans ce contexte, il faut savoir qu'ils peuvent contenir une menace dissimulée.
Roger Thompson, directeur de la recherche d'AVG Technologies, cite trois facteurs clés qui rendent particulièrement difficile la tâche des sociétés de sécurité chargées de repérer ces types de menace : « Premièrement, il faut beaucoup de temps pour détecter et bloquer les menaces distribuées aléatoirement par rotation sur les milliers de pages différentes d'un réseau social ou d'un site de grande taille. Ensuite, cette menace a généralement une durée de vie brève ; un programme malveillant transmis par un site très fréquenté n'a pas besoin de s'exécuter longtemps pour tromper un grand nombre de visiteurs. Enfin, l'Internet est si vaste que rechercher sur toutes les pages Web une menace dont la durée de vie est limitée à quelques heures ou quelques jours est tout simplement impossible. »
« Pire, les pirates les plus pointus savent comment se dissimuler des logiciels de recherche itinérante : ils identifient les adresses IP utilisées par ces logiciels et veillent à ne pas se manifester en cas de contact provenant de ces adresses. Bien entendu, rien de tout cela n'a d'intérêt réel pour ceux dont l'ordinateur est infecté au cours de ces quelques heures critiques. »
AVG a opté pour une approche différente de la protection des utilisateurs contre ces menaces insidieuses. Les recherches effectuées par la division Exploit Prevention Labs de la société regroupent des données de sources diverses afin d'ajouter une couche essentielle de protection en temps réel à tous les produits AVG. Cette protection complète sa propre technologie de détection des logiciels malveillants reposant sur les signatures. Cette protection supplémentaire sera désormais étendue, suite à l'acquisition de la technologie de protection des identités et d'analyse comportementale de Sana Security.
M. Thompson estime que cette approche multicouche est indispensable pour assurer une protection en temps voulu. « Si un site contient un élément dangereux, il peut facilement en contenir plusieurs, et c'est habituellement le cas. En réunissant plusieurs sources de données et en observant l'interaction des différents éléments, nous sommes en mesure de produire une représentation très complète des menaces individuelles.
« Il est important de savoir qu'il n'est plus possible d'assurer une protection contre chacun des virus en circulation : nos laboratoires voient chaque jour des dizaines de milliers de nouveaux virus. Par conséquent, nous examinons le comportement de ces menaces, ce qui est plus facile car les modes de propagation sont beaucoup moins diversifiés. Cela s'apparente à la détection des lettres piégées : nos recherches nous fournissent suffisamment de données pour identifier une menace (la bombe) véhiculée par le dispositif de transmission (l'enveloppe qui renferme la bombe). Il suffit de ne pas ouvrir l'enveloppe pour ne pas déclencher l'explosion. »