Symantec MessageLabs Intelligence Report édition 2009

Par:
fredericmazue

mer, 09/12/2009 - 14:52

Symantec annonce la publication de l’édition 2009 de son rapport sur la sécurité MessageLabs Intelligence Report. Ce rapport annuel fait le point sur les techniques de survie imaginées par les cybercriminels et décrit comment leurs activités ont évolué en termes de volume et de diversité tout au long de l’année 2009. 

D'après ce rapport, l’activité de spams a connu des turbulences tout au long de l’année, avec des volumes moyens atteignant 87,7 % des e-mails échangés, mais avec des hauts et des bas à 90,4 % en mai et 73,3 % en février. 83,4 % des 107 milliards de courriers indésirables distribués chaque jour en moyenne dans le monde étant envoyés par des ordinateurs infectés, la fermeture de FAI hébergeant des botnets, comme McColo fin 2008 et Real Host en août 2009, semble inciter les botnets à réévaluer et améliorer leur stratégie de commande et de contrôle pour que la restauration ne prenne plus que quelques heures et non plus des semaines, voire des mois. Il est très probable qu’en 2010 les botnets soient plus autonomes et intelligents, avec chaque nœud comportant un programme autonome qui lui permette de coordonner et de prolonger sa propre survie.

Les botnets ont continué de dominer le paysage de la cybersécurité en 2009. Les dix botnets les plus développés, dont Cutwail, Rustock et Mega-D, contrôlent désormais au moins cinq millions d’ordinateurs infectés. Cutwail a dominé l’univers des spams et des programmes malveillants en 2009, avec 29 % de tous les spams en circulation ou 8 500 milliards de spams envoyés entre avril et novembre 2009. Cutwail a également utilisé sa force pour distribuer des e-mails comportant le cheval de Troie Bredolab, déguisé en fichier .zip joint. L’une des principales menaces de 2009, le cheval de Troie Bredolab, permettait à celui qui l’envoyait de prendre le contrôle total de l’ordinateur attaqué, qui pouvait alors être utilisé pour déployer d’autres programmes malveillants, logiciels espions et publicitaires du botnet sur l’ordinateur de la victime. Le pourcentage des spams relayant le cheval de Troie Bredolab était en augmentation constante fin 2009 et a culminé en octobre 2009, avec des estimations portant à 3,6 milliards le nombre d’e-mails de diffusion de Bredolab en circulation.

« En 2009, les menaces ont gagné en sophistication. Plutôt que les traditionnels envois massifs de spams et les attaques par des programmes malveillants, nous avons intercepté davantage de variantes plus complexes et efficaces, faisant appel également à des technologies plus évoluées », explique Paul Wood, analyste senior pour MessageLabs Intelligence, Symantec. « Nous avons mis fin à plus de 21 millions de types différents de campagnes de spams en 2009, plus du double par rapport à 2008. Et le nombre de variantes de programmes malveillants a augmenté de 23 % par rapport à l’année précédente. Ces chiffres à la hausse laissent penser que, du fait de la plus grande accessibilité d’outils du parfait cybercriminel, il est devenu plus simple que jamais de créer des spams et programmes malveillants et de les diffuser, puis de les exploiter. »

La menace de sécurité la plus préoccupante observée cette année est Conficker/Downadup, un ver qui permet à ses créateurs d’installer des logiciels à distance sur les machines infectées. Le ver Conficker est apparu pour la première fois fin 2008, mais une mise à jour datant du 1er avril 2009 lui a conféré davantage de fonctionnalités lui permettant de mieux contourner les moyens de détection. Conficker est d’autant plus préoccupant que l’on ne sait toujours pas quelle est l’utilisation prévue des plus de six millions de machines infectées à ce jour, précise le groupe de travail sur Conficker, qui a quand même minimisé les dégâts potentiels de ce programme malveillant en 2009. 

Au premier semestre 2009, la crise du crédit a servi de prétexte pour de nombreuses nouvelles attaques dites financières, les spammeurs et les criminels cherchant à tirer profit de l’incertitude qui régnait autour du ralentissement économique mondial. En février, la plupart des premiers spams de la période de récession contenaient des liens hypertexte vers plusieurs moteurs de recherche bien connus. En 2009, 90,6 % des spams comportaient une URL, avec une hausse très marquée au second semestre d’URL raccourcies, facilitant le maquillage du vrai site que l’utilisateur souhaitait visiter et compliquant l’identification de ces messages comme spams par les filtres traditionnels. Des cas fréquents d’utilisation de la technique de raccourcissement d’URL ont été constatés sur les sites de réseaux sociaux et de micro-blogs. Les cybercriminels apprécient cette technique du fait de la confiance naturelle des utilisateurs de ces sites les uns envers les autres.

En plus de la crise financière mondiale, beaucoup de spams en 2009 étaient inspirés de divers autres événements, occasions festives ou encore actualités, comme la St. Valentin, la pandémie de grippe A/H1N1 et le décès de célébrités comme Michael Jackson ou Patrick Swayze. Les créateurs de programmes malveillants et auteurs de campagnes 419 de spams de demande d’avances financières ont rivalisé d’imagination cette année. Les premiers exemples autour de Michael Jackson sont apparus quelques jours seulement après l’annonce de son décès, dont un cheval de Troie brésilien masqué dans des liens hypertexte malveillants.

« Si les attaques sont de plus en plus innovantes et sophistiquées, les prévisions jouent un grand rôle dans la lutte quotidienne contre les menaces de sécurité », déclare M. Wood. « L’industrie de la sécurité reconnaît la recrudescence des attaques thématiques, comme celles entourant la St Valentin, Noël ou le décès de célébrités, mais au vu de leur fréquence et de leurs volumes, il est clair que les cybercriminels obtiennent ce qu’ils cherchent ; sans quoi leurs tactiques auraient évolué. »

Enfin les technologies CAPTCHA (Completely Automated Public Turing test to tell Computer and Humans Apart) ont occupé le devant de la scène cette année tandis que des outils de rupture de CAPTCHA devenaient accessibles sur le marché souterrain, permettant aux cybercriminels de créer de très grands nombres de comptes réels sur les sites de messagerie électronique et instantanée, ainsi que de réseaux sociaux. On constate également un nombre croissant d’entreprises employant de vrais individus 24 heures sur 24 pour créer de vrais comptes sur les grands sites de messagerie électronique. Le poste est souvent présenté comme un job de traitement de données, où chaque employé peut prétendre à recevoir deux à trois dollars pour 1 000 comptes créés ; ces comptes sont ensuite vendus à des spammeurs contre 30 à 40 dollars. Certains grands sites cherchent des alternatives aux lettres et chiffres distordus. Certains s’intéressent à des grandes bibliothèques de photos, qui demandent à l’utilisateur une analyse ou une interaction impossible pour un programme informatique.

Les principales tendances en 2009 :

  • Sécurité Web : En 2009, les statistiques montrent une recrudescence des sites Web malveillants, avec 2 465 sites Web interrompus en moyenne chaque jour contre 2 290 en 2008, soit une hausse de 7,6 %. MessageLabs Intelligence a bloqué les sites Web malveillants de 30 000 domaines distincts. 80 % des noms de domaine bloqués comme malveillants étaient des sites Web légitimes ayant été corrompus, les 20 % restants étant de nouveaux domaines créés délibérément avec du contenu malveillant.

 

  • Spam : En 2009, la proportion des e-mails s’avérant être des spams était de 87,7 % (81,2 % en 2008), en augmentation de 6,5 % par rapport à l’année précédente. Les spams images ont culminé en avril, représentant 56,4 % de tous les spams le 5 avril, alors que la moyenne annuelle était de 28,2 %.

 

  • Virus : En 2009, la proportion des e-mails comportant un virus était de 1 pour 286,4 e-mails (0,35 %), soit une baisse de 0,35 % par rapport à 2008 où le chiffre était de 1 pour 143,8 e-mails (0,70 %). Ce recul s’explique par la tendance à développer davantage de variantes (augmentation de 23 % en 2009 par rapport à 2008) mais moins d’e-mails malveillants par souche (environ 5 827 e-mails malveillants par souche en 2009 contre 10 436 e-mails par souche en 2008).  

 

  • Phishing : Le nombre d’attaques de phishing était de 1 pour 325,2 e-mails  (0,31 %) contre 1 pour 244,9 (0,41 %) en 2008. En 2009, il y a eu plus de 161 milliards d’attaques de phishing en circulation.