La cybercriminalité en hausse en 2010

Symantec constate l’augmentation des attaques ciblées, des menaces visant les réseaux sociaux et les appareils mobiles, ainsi que la prolifération des kits d’attaque. En 2010, 286 millions de nouvelles menaces ont été identifiées. Si la France se classe au 11ème rang des pays les plus concernés, les Etats-Unis restent numéro 1.

Symantec a publié la seizième édition de son rapport ISTR (Internet Security Threat Report) qui met en évidence les principales tendances en matière de cybercriminalité du 1er janvier au 31 décembre 2010. Plus de 286 millions nouvelles menaces ont été répertoriées, auxquelles s’ajoutent de nouvelles tendances d’attaque. En France, une moyenne de 1197 botnets par jour a été référencée en 2010, infectant ainsi 142 812 ordinateurs. Le pays gagne 2 places par rapport à 2009 et se positionne à la 11ème place du classement mondial des activités malveillantes.

« Stuxnet et Hydraq, deux des attaques en ligne les plus visibles en 2010, ont représenté de vrais actes de cyber-guerre et ont radicalement transformé le paysage des menaces, déclare Stephen Trilling, vice-président senior, Symantec Security Technology and Response. La nature des menaces est passée du ciblage de comptes bancaires personnels au ciblage des informations et de l’infrastructure physique des nations. »

Le rapport de cette année met en exergue une augmentation considérable de la fréquence et du niveau de sophistication des attaques visant les entreprises, mais également une hausse soutenue du nombre de sites de réseaux sociaux transformés en plates-formes de distribution d’attaques.

Par ailleurs, les cybercriminels ont changé leur tactique d’attaque en 2010, ciblant de plus en plus les failles de Java pour s’infiltrer dans les systèmes informatiques traditionnels. Une autre évolution de la cybercriminalité concerne la mobilité : les attaques vers les appareils mobiles sont en forte augmentation (+42%).

2010 : l’année de l’attaque ciblée

En 2010, les entreprises ont été exposées à un nombre croissant d’attaques ciblées telles qu’Hydraq et Stuxnet, qui ont exploité des failles « zero-day » pour s’infiltrer dans leurs systèmes informatiques. Le but de leurs auteurs : atteindre ces systèmes sans être détectés. Par exemple, Stuxnet a exploité à lui seul quatre failles « zero-day » différentes pour atteindre ses objectifs.

En 2010, des attaques ciblées ont été perpétrées contre des sociétés multinationales cotées en bourse, des administrations et un nombre surprenant de petites entreprises. Dans de nombreux cas, les cybercriminels ont recherché des victimes stratégiques au sein de chaque entreprise, puis ont utilisé des techniques d’attaque personnalisées, basées sur l’ingénierie sociale, pour s’infiltrer dans les réseaux de ces victimes. En raison de leur caractère ciblé, bon nombre de ces attaques ont réussi, même si leurs victimes avaient des systèmes de sécurité de base en place.

Les attaques ciblées les plus marquantes de l’année 2010 visaient à dérober des informations liées à la propriété intellectuelle des entreprises, ou à provoquer des dommages physiques, mais bon nombre ont visé des individus afin de dérober leurs informations personnelles.

Réseaux sociaux : un terrain fertile pour la cybercriminalité

Les réseaux sociaux étant de plus en plus utilisés, il n’est pas surprenant d’y trouver de nombreux programmes malveillants. L’utilisation d’URL raccourcies est l’une des principales techniques d’attaque utilisées sur ce type de sites. Dans les scénarii légitimes classiques, ces URL abrégées sont utilisées pour partager efficacement un lien dans un e-mail ou sur une page Web vers une adresse Web complexe. L’année dernière, des cybercriminels ont publié sur des réseaux sociaux des millions de liens raccourcis pour gagner la confiance d’internautes en vue de leur dérober des informations sensibles ou de les pousser à télécharger un logiciel malveillant, d’où une augmentation considérable du taux de réussite des tentatives d’infection.

Les fils d’actualités des sites de réseaux sociaux populaires sont largement utilisés pour la distribution massive d’attaques. Dans la plupart des cas, le cybercriminel usurpe l’identité d’un internaute en se connectant sur son compte et publie en guise de statut un lien vers un site malveillant. Le site de réseau social distribue alors automatiquement ce lien vers les fils d’actualités des amis de la victime, le diffusant ainsi à des centaines ou des milliers de victimes en quelques minutes. En 2010, 65% des liens malveillants dans les fils d’actualités observés par Symantec utilisaient des URL raccourcies. Au moins 11 clics ont été effectués sur 73% de ces liens, et entre 11 et 50 clics sur 33% d’entre eux.

Kits d’attaque axés sur Java

En 2010, les kits d’attaque sur Internet ont de nouveau été largement utilisés. Ces outils visent de plus en plus les failles du système Java, qui ont représenté 17% des failles affectant les plug-ins des navigateurs en 2010. Technologie multiplate-forme et cross-navigateur très utilisée, Java est une cible attrayante pour les cybercriminels.

Le toolkit Phoenix est à l’origine de la plupart des attaques en ligne en 2010. Ce kit, ainsi que beaucoup d’autres, contient des outils pour l’exploitation des failles de Java. La sixième des principales attaques en ligne relevées sur la période analysée visait également l’exploitation de technologies Java.

Le nombre d’attaques en ligne par jour a augmenté de 93% en 2010 par rapport à 2009. Étant donné que les deux tiers des menaces en ligne observées par Symantec sont directement imputables aux kits d’attaque, ces derniers sont probablement largement responsables de cette augmentation.

Émergence des menaces visant les appareils mobiles

Les principales plates-formes mobiles sont à présent suffisamment répandues pour attirer l’attention des malfrats. Symantec prévoit donc une augmentation des attaques visant ces plates-formes. En 2010, la plupart des attaques de programmes malveillants visant les appareils mobiles s’est présentée sous la forme de chevaux de Troie, se faisant passer pour des applications légitimes.

Bien que des cybercriminels aient créé de toutes pièces certains de ces programmes malveillants, dans de nombreux cas, ils ont infecté des utilisateurs en introduisant un programme malveillant dans des applications existantes légitimes. L’attaquant a ensuite distribué ces applications infectées par le biais de boutiques d’applications publiques. Par exemple, les auteurs du récent cheval de Troie Pjapps ont utilisé cette technique.

Les nouvelles architectures de sécurité des appareils mobiles actuels sont au moins aussi efficaces que celles des ordinateurs de bureau et des serveurs, mais les cybercriminels parviennent souvent à contourner ces protections en visant les failles inhérentes aux implémentations des plates-formes mobiles. Malheureusement, ces failles sont relativement courantes : Symantec a répertorié 163 failles en 2010, susceptibles d’être utilisées par des cybercriminels pour prendre le contrôle partiel ou total d’appareils exécutant des plates-formes mobiles populaires. Au cours des premiers mois de l’année 2011, des cybercriminels ont exploité ces failles pour infecter des centaines de milliers d’appareils.

Autres constats de l’ISTR :

- 286 millions de nouvelles menaces : le polymorphisme et les nouveaux mécanismes de distribution, tels que les kits d’attaque en ligne, ont de nouveau augmenté le nombre de programmes malveillants distincts. En 2010, Symantec a identifié plus de 286 millions de programmes malveillants distincts.

- Hausse de 93% des attaques en ligne : les kits d’attaque en ligne sont principalement à l’origine de la hausse du nombre d’attaques en ligne perpétrées en 2010. L’utilisation d’URL raccourcies a également contribué à cette hausse.

- 260 000 identités exposées par faille de sécurité : nombre moyen des identités exposées par faille dans le cadre des vols de données résultant des actes de piratage constatés en 2010 (dans les pays où les pertes de données doivent être publiquement déclarées).

- 14 nouvelles vulnérabilités « zero-day » : les vulnérabilités « zero-day » ont joué un rôle clé dans des attaques ciblées telles qu’Hydraq et Stuxnet. Stuxnet a utilisé à lui seul quatre failles « zero-day » différentes.

- 6 253 nouvelles failles : Symantec a répertorié plus de failles en 2010 que jamais.

- Les failles des systèmes d’exploitation mobiles sont en hausse de 42% : 163 nouvelles failles ont été constatées dans les systèmes d’exploitation mobiles en 2010, contre 115 en 2009, ce qui montre que les cybercriminels commencent à centrer leurs efforts sur les appareils mobiles.

- Le botnet Rustock comportait plus d’un million de spambots : Rustock, le plus grand botnet observé en 2010, a eu plus d’un million de robots sous son contrôle à un moment donné de l’année. D’autres botnets tels que Grum et Cutwail l’ont suivi avec plusieurs centaines de milliers de robots chacun.

- 74% des spams sont liés à des produits pharmaceutiques : près de trois quarts des spams en 2010 étaient liés à des produits pharmaceutiques, dont une grande partie à des sites pharmaceutiques et des marques connexes.

- 15 $ pour 10 000 bots : Symantec a identifié une annonce indiquant un prix de 15 $ pour 10 000 ordinateurs infectés par des bots sur un forum souterrain en 2010. Généralement utilisés pour des campagnes de spam ou de rogueware, les bots le sont de plus en plus pour des attaques DDoS.

- 0,07 $ à 100 $ par carte de crédit : le prix des données de carte de crédit, indiqué en 2010 sur des forums souterrains, varie fortement, selon la rareté de la carte et les remises offertes pour les achats en gros.

À propos du rapport ISTR (Internet Security Threat Report) de Symantec

Le rapport ISTR (Internet Security Threat Report) présente une vue d’ensemble de la sécurité Internet actuelle, reposant sur les données collectées par des millions de capteurs Internet, des recherches de terrain et le suivi actif des communications des pirates informatiques. La 16ème édition du rapport ISTR couvre la période allant de janvier à décembre 2010.