Ce rapport décrit en détail l'éventail des cyber menaces auxquelles particuliers et entreprises sont confrontés. En nous fondant sur des sources de 2015, nous exposons ici nos remarques concernant les cas connus de malware détectés
par les systèmes de renseignement anti-menace. Nous identifions par ailleurs plusieurs évolutions et tendances clés dans ce domaine.
2. 0302
RÉSUMÉ
INCEPTION
INTRUSION
INFECTION
INVASION
EFFRACTION DANS
LE JARDIN CLOS
Fin 2015, l'App Store d'Apple
a été victime d'une série d'incidents dus
à l'utilisation d'outils infectés par des
développeurs, créateurs malgré eux
d'applications malveillantes. Passant outre
le contrôle d'Apple, elles se sont immiscées
dans sa plateforme et, de là, dans les
périphériques iOS d'internautes.
PRÉSENTATION
DES DUKES
Les membres des Dukes
forment un groupe de cyber espionnage
hautement spécialisé, extrêmement bien
organisé et doté de nombreuses ressources.
Ils travailleraient pour la Fédération de
Russie depuis au moins 2008 dans le but de
recueillir des renseignements permettant
d'influer sur les décisions prises en matière
de politiques de sécurité et d'affaires
étrangères.
CHAÎNE DE
CONTAMINATION
Étapes
2015 EN BREF
Voici quelques-uns des événements majeurs de l'année en matière de cyber sécurité.
15/02 : Démantèlement
du botnet Ramnit par
Europol
15/07 : Fermeture du
forum de piratage
Darkode par le FBI
POURSUITES
15/07 : Piratage de Hacking
Team, divulgation de
données en ligne
15/09 : Début du
nettoyage de l'App
Store pour éradiquer
XcodeGhost
ATTAQUES
15/07 : Rappels Ford,
Range Rover, Prius et
Chrysler pour cause de
bug
15/07 : Signalement de la
faille Android Stagefright
VULNÉRABILITÉS
15/08 : Google corrige la
faille de sécurité Android
Stagefright
15/08 : Amazon et
Chrome abandonnent
les pubs Flash
SÉCURITÉDES
PRODUITS
08
2018
28
Njw0rm
Gamarue
Angler
Dorkbot
Kilim
Nuclear
Ippedo
Dridex
WormLink
PRINCIPALES
FAMILLES DE
MALWARE
Njw0rm a été la nouvelle famille de
malware prédominante en 2015.
12
MENACES PAR ZONE
GÉOGRAPHIQUE
L'Europe a été particulièrement
touchée par le kit d'exploitation Angler.
De plus, elle a fréquemment été la
cible de Trojan:JS/Redirector ainsi
que d'attaques par fichiers contenant
des macros qui téléchargent des
ransomware. 15
CHAÎNE DE
CONTAMINATION
La chaîne de contamination
est un modèle axé sur les utilisateurs qui
illustre les combinaisons de tactiques et
de ressources utilisées pour infecter leurs
périphériques et leurs réseaux. Il comporte
quatre grandes étapes : inception,
intrusion, infection et invasion.
23
Les redirecteurs sèment la panique
aux USA et dans l'UE (p. 28)
AnglerEK domine Flash
(p. 29)
L'ascension des
crypto-ransomware (p. 31)
Downadup pourrait-il se refaire
une santé grâce à l'Internet des
objets ? (p. 34)
Piratage DNS en 2015 : des
botnets, des téléchargeurs et des
voleurs d'informations (p. 33)
Cerapportdécritendétaill'éventaildescybermenacesauxquellesparticuliers
et entreprises sont confrontés. En nous fondant sur des sources de 2015, nous
exposons ici nos remarques concernant les cas connus de malware détectés
par les systèmes de renseignement anti-menace. Nous identifions par ailleurs
plusieurs évolutions et tendances clés dans ce domaine.
Ce rapport introduit la « chaîne de contamination », un concept analytique
permettant d'aider les lecteurs, en particulier ceux qui travaillent dans le
domaine de la cyber sécurité et des technologies de l'information, à cerner
les combinaisons de tactiques et de ressources des pirates. Ce modèle a été
appliquéàcertainesdesmenaceslespluscourantesen2015(kitsd'exploitation,
ransomware et piratages DNS, entre autres) afin d'illustrer comment les cyber
criminels compromettent la sécurité des internautes.
Ce rapport contient également des éléments clés concernant le penchant
actuel des pirates pour les vers, les exploits et les macro-malware, mais aussi
le recours croissant aux crypto-ransomware par les racketteurs en ligne ainsi
que l'utilisation et l'efficacité grandissantes des kits d'exploitation visant les
vulnérabilités Flash. De plus, il souligne l'importance des divers incidents de
cybersécuritésurvenusen2015,notammentladécouvertedubugXcodeGhost
dans l'App Store d'Apple et le démasquage des Dukes, un groupe de menaces
avancées persistantes. Sans oublier certains signes laissant penser que la
rencontre entre géopolitique et cyber sécurité ouvre la voie à une course au
cyber armement.
Les informations fournies sur les menaces observées à l'échelle mondiale sont
étayées par des statistiques détaillées par pays et zones géographiques pour
les plus courantes d'entre elles. Il en ressort clairement que, si le monde entier
est connecté via Internet, les pirates sont à même de développer et distribuer
des ressources leur permettant de cibler plus efficacement leurs victimes
parmi les particuliers et les entreprises.
SYNTHÈSE
Auteurs
Edilberto Cajucom Laboratoire • Patricia Dacuno Threat Intelligence, Laboratoire • Karmina Aquino • Threat Intelligence,
Laboratoire • Broderick Aquilino Malware Protection, Laboratoire • Alia Hilyati Antimalware Unit • Sarah Jamaludin Antimalware
Unit • Adam Pilkey Global Communications & Brand • Melissa Michael Global Communications & Brand
Contributeurs
Mikko Hypponen Laboratoire • Sean Sullivan Security Advisor • Andy Patel Technology Outreach • Zimry Ong Malware Protection,
Laboratoire • Artturi Lehtiö Threat Intelligence, Laboratoire • Janne Kauhanen Cyber Security Services • Dariusz Jastrzebski Cyber
Security Services
3. 0504
Avant, les conflits survenaient pour une question de frontières. Il y a bien
longtemps, nous érigions des remparts autour de nos villes pour nous
défendre. Ils nous protégeaient de nos ennemis. Au fil du temps, ces remparts
sont devenus plus hauts, plus longs, plus larges. Or, plus ils s'allongeaient et
s'élargissaient, plus ils se faisaient invisibles autour des zones de richesse,
de prospérité, de puissance et de croyance qu'ils délimitaient. Finalement,
ces remparts sont devenus des frontières qui sont restées l'objet de tous les
conflits pendant des siècles. L'époque était alors aux désirs de conquêtes
territoriales et de conversion religieuse des populations.
Les guerres et autres conflits ont toujours été alimentés par les technologies,
comme celles de la poudre, des lames en acier et des avions de chasse. Ce
sont immanquablement ces incroyables possibilités technologiques qui se
distinguent le plus durant ces périodes sombres. La guerre a toujours été un
moteur de développement technologique, et inversement.
C'estainsiquelaguerrefroideaproduituneffetcollatéral :Internet.Cherchant
à maintenir une chaîne de commandement en cas de guerre nucléaire,
l'armée américaine a conçu Internet dans ce but, comme une infrastructure
militaire. En développant Internet, l'humanité a ouvert la voie à une toute
nouvelle façon de se faire la guerre. Qui plus est, Internet n'est pas une zone
géographique et ne connaît pas de frontières. Cette création a ouvert la boîte
de Pandore dans un environnement dépourvu de délimitations tangibles, sans
ennemis identifiables.
Par ailleurs, les anciens conflits étaient de nature symétrique, armée contre
armée. Aujourd'hui, la technologie guerrière a évolué. Nous ne savons plus qui
sont nos ennemis ou ne sommes plus en mesure de les décrire ni d'identifier
leurs objectifs et leurs motivations. Nous nous lançons dans une bataille,
armés de technologies que nous ne maîtrisons pas complètement, contre
des ennemis tapis dans l'ombre… et l'issue reste insondable. Contre qui nous
battons-nous ? Des pirates ? Le collectif Anonymous ? La mafia russe ? La
Corée du Nord ?
Les conflits sur Internet sont complexes. La seule chose dont nous pouvons
être sûrs, c'est que nous assistons au début d'une nouvelle course à
l'armement : une course au cyber armement.
MIKKO HYPPÖNEN
Chief Research Officer
@mikko
AVANT-PROPOS
« NOUS NOUS
LANÇONS DANS
UNE BATAILLE,
ARMÉS DE
TECHNOLOGIES
QUE NOUS NE
MAÎTRISONS PAS
COMPLÈTEMENT,
CONTRE DES
ENNEMIS TAPIS
DANS L'OMBRE »
TABLE DES MATIÈRES
02RÉTROSPECTIVE
01GÉNÉRALITÉS
02 Résumé
03 Synthèse
04 Avant-propos
05 Table des matières
06 À noter
35 Conclusion
36 Sources
40 Annexe
40 Rapports nationaux
47 Descriptions des menaces
08 2015 en bref
10 Résumé des menaces
10 Malware par type
11 Pays qui en signalent le plus
12 Principales menaces
12 Principales familles de malware
12 Tendances des principales familles
13 Principaux génériques et familles
héritées
13 Tendances des principaux
génériques et familles héritées
14 Malware Mac
14 Malware Android
15 Menaces par zone géographique
03ÉTUDES DE CAS
18 Effraction dans le jardin clos
20 Présentation des Dukes
04CHAÎNE DE CONTAMINATION
23 Un modèle axé sur les utilisateurs
24 Étape par étape
25 Principales menaces par étape
26 Njw0rm
27 CosmicDuke
28 Étapes
28 Inception
29 Intrusion
31 Infection
33 Invasion : Infiltration
34 Invasion : Infestation
4. 06
Flash : Le dernier des maillons faibles
Les exploits malveillants sont monnaie courante depuis plus de 10 ans. Tant et si bien qu'en
2006 les analystes de l'Institut InfoSec ont commencé à appeler plaisamment « Exploit
Wednesday » le lendemain du « Patch Tuesday » de Microsoft. Tout reposait sur la réactivité.
Le mardi, Microsoft livrait ses mises à jour, que les pirates disséquaient rapidement dans la foulée
pour en identifier les vulnérabilités sous-jacentes. Armés de ces informations, ils créaient alors un
exploit à intégrer à leurs malware visant les internautes qui n'avaient pas encore mis leur système à
jour.
Fin 2006, les malware se sont encore plus démocratisés avec l'arrivée des kits malveillants. Les
premiers de ces kits, comme MPack, furent victimes de leur succès : pas assez évolutifs, ils furent
en effet incapables de satisfaire une demande en constante augmentation. Toutefois, les services
malveillants ont bien vite pris la relève et les marchés noirs du web proposent maintenant de
nombreux kits d'exploitation.
Aujourd'hui, fini l'« Exploit Wednesday ». Le logiciel Microsoft [1]
est nettement plus sûr qu'il y a
10 ans et s'accompagne d'un déploiement accéléré des correctifs. C'est désormais Adobe que les
kits d'exploitation prennent pour cible. Le programme Reader en a particulièrement fait les frais un
certain temps (Flash aussi), avant de devenir quasi superflu avec l'avènement de la prise en charge
des PDF en natif dans plusieurs navigateurs. Adobe a alors adopté des cycles de mise à jour stricts qui
ont mis Reader à l'abri un moment. Le plug-in pour navigateur Java, maillon faible de la chaîne, est
ensuite devenu la cible privilégiée des attaques. Les développeurs l'ont alors plus ou moins restreint
à de très rares utilisations.
Donc, à présent… le lecteur Flash d'Adobe est le dernier plug-in offrant la meilleure prise aux kits
d'exploitation. Mais pour combien de temps ?
Le 29 avril 2010, Steve Jobs a publié une lettre ouverte intitulée Thoughts on Flash (Pensées sur Flash)
expliquant pourquoi Apple ne voulait pas de Flash sur ses périphériques iOS. Selon de nombreux
analystes technologiques, cet événement a signé le début de la fin pour Flash Player, au moins sur
les appareils mobiles. C'est désormais avéré. Le 28 juin 2012, Adobe a annoncé que la certification
Flash Player ne serait pas disponible sur l'Android 4.1 et qu'il limiterait ses installations via Google Play
à partir du15 août 2012 [2]
.
Depuis,lelecteurFlashtientbonsurlemarchédesordinateursdebureau,maisilestcritiquédetoute
part. Ainsi, en août 2015, Amazon a annoncé qu'il n'accepterait plus les publicités en Flash à compter
du 1er
septembre 2015. Google a suivi le mouvement en février 2016. Dans cette optique, AdWords et
DoubleClick,sesréseauxpublicitaires,n'afficherontplusdepublicitésenFlashàpartirdu30 juin2016.
Elles y seront complètement désactivées à partir du 2 janvier 2017.
Àcestade,j'avanceraisuneprévisionpourdébut2017 :dèsqu'ilpourrasepasserdeprendreencharge
les publicités en Flash, le navigateur Google Chrome commencera à forcer les internautes à autoriser
tous les sites nécessitant la technologie Flash et sera suivi de près par Mozilla Firefox et Microsoft
Edge. Ainsi, d'ici le printemps 2017... Flash ne sera plus d'aucune utilité aux kits d'exploitation.
Les kits d'exploitation ont un avenir chaotique devant eux, sans nouvelle cible prometteuse à
l'horizon. Les services malveillants, toujours plus répandus, intensifieront leurs envois de pièces
jointes, comme le macro-malware qui fait fureur actuellement.
Si seulement nous perdions le réflexe de cliquer sur « OK » pour nous débarrasser des boîtes de
dialogue…
SEAN SULLIVAN
Security Advisor
@5ean5ullivan
À NOTER
1
À l'exception de Silverlight, actuellement cible de kits d'exploitation. Heureusement, Silverlight devrait bientôt disparaître puisque Netflix s'en détourne.
2
Ironie du sort, bon nombre de malware s'insinuent dans les appareils Android par le biais de publicités trompeuses pour une mise à jour Flash obligatoire. Même
en l'absence de lecteur Flash, l'habitude mène parfois à l'ingénierie sociale. Les chercheurs de Google ont commencé à configurer le navigateur Chrome de façon à
signaler les sites affichant ce type de publicité.
07
02
RÉTROSPECTIVE
08 2015 en bref
10 Résumé des menaces
11 Pays qui en signalent le plus
11 Malware par type
12 Principales menaces
12 Principales familles de malware
12 Tendances des principales familles
13 Principaux génériques et familles héritées
13 Tendances des principaux génériques et familles héritées
14 Malware Mac
14 Malware Android
15 Menaces par zone géographique
07
5. 2015 EN BREF
MALWARE
Août
Google lance les mises
à jour de sécurité Nexus
mensuelles
SÉCURITÉ DES PRODUITS
VULNÉRABILITÉS
Août
Google corrige la
faille de sécurité
Android Stagefright
SÉCURITÉ
NUMÉRIQUE
Octobre
UE/USA :
Invalidation de
l'accord Safe Harbor
Août
USA : Sanctions prévues
contre la Chine pour
cyber vol
Septembre
Chine/USA : Entretien
cyber sécurité avant la
visite officielle
Juillet
Chine : Mise à jour
des lois relatives au
contrôle d'Internet
Juillet
Fermeture du
forum de piratage
Darkode par le FBI
Février
Démantèlement
du botnet Ramnit
par Europol
ATTAQUES
Juillet
Signalement de
la faille Android
Stagefright
Octobre
Signalement de
la faille Android
Stagefright 2.0
Août
Signalement de la
faille Certifi-gate
sur Android
Mars
Détection de
la faille FREAK
sur Android et
Windows
Septembre
Signalement d'un exploit
déjouant Gatekeeper sur
Mac OS X
Juillet
Développement
des outils de
cyber criminalité
des Dukes
Mars
Montée des
ransomware
Juillet
Piratage de Hacking
Team, divulgation de
données en ligne
INTERNATIONALPARTICULIERS
Novembre
USA : Fin des écoutes
téléphoniques massives
de la NSA
Octobre
USA - CISA : Adoption
par le Sénat malgré des
inquiétudes
Décembre
Chine : Inquiétudes
au sujet de la loi
antiterrorisme
Octobre
USA - DMCA :
Davantage de produits
de « piratage légal »
POURSUITES
Octobre
USA : 4,5 ans de prison
pour le créateur du
botnet Citadel
Octobre
R-U/USA :
Inculpation du
créateur du
botnet Dridex
Octobre
UE : Raids policiers
liés au malware
DroidJack
Août
Amazon et Chrome
abandonnent les
pubs Flash
Octobre
Chine : Arrestation
de pirates sur
requête des USA
Octobre
Perturbation de
l'activité du kit
d'exploitation
Angler
Septembre
Malware Turla
« en contact CC
par satellite »
Octobre
Correction de plusieurs
failles par les mises à
jour Apple
Décembre
Signalement
d'attaques DDoS sur
des serveurs turcs
Octobre
Retrait de bloqueurs
de pub dépassant les
limites de l'App Store
Septembre
Identification de
nouveaux outils
des Dukes
Août
Démonstration
de piratage
d'une Corvette
par des
chercheurs
Juillet
Rappels Ford,
Range Rover, Prius
et Chrysler pour
cause de bug
Août
Sortie du
correctif
antipiratage
OTA pour la
Tesla Model S
Septembre
Envoi postal
Chrysler de
clés USB avec
correctif
logiciel
L'année 2015 s'est révélée mouvementée en matière de sécurité et de confidentialité en ligne. Voici
quelques-uns des événements majeurs survenus qui influeront sur les interactions des internautes
et leur rapport à la technologie. Nos sources sont répertoriées à la page 36.[ ]
Septembre
Début du
nettoyage de
l'App Store
pour éradiquer
XcodeGhost
Septembre
Attaque DDoS
« lancée depuis des
pubs sur mobile »
VIEENLIGNE
0908
6. 1110
RÉSUMÉ DES MENACES
Si la typologie des menaces observées en 2015 reprenait
plusieurs tendances relevées en 2014, elle affichait également
des divergences significatives. La surprise est notamment
venue du retour des macro-malware qui avaient disparu
depuis le début des années 2000. Par ailleurs, la proportion
des vers dans le nombre total de détections de malware a
augmenté, ce qui est en grande partie dû à l'émergence de
diverses familles dans certaines régions du monde.
Toutefois, les exploits et kits d'exploitation restent parmi
les menaces les plus répandues auxquelles particuliers et
entreprises sont confrontés en Europe comme en Amérique
du Nord. Non seulement ils sont fréquemment détectés, mais
certains indicateurs ont démontré en 2015 que leurs capacités
ne cessent de s'étoffer et de s'étendre à de nouveaux vecteurs
d'attaque. Le nombre de ransomware « Gendarmerie » a
diminué en 2015, contrebalancé par l'activité croissante
de plusieurs familles de crypto-ransomware (voir page 31)
opérant par le biais de kits d'exploitation et de macro-
malware.
Par ailleurs, les autorités gouvernementales et les grandes
entreprises s'intéressent de près aux menaces avancées
persistantes (APT – Advanced Persistent Threats), bien
qu'elles n'affectent pas la plupart des internautes. En 2015,
le Laboratoire F-Secure a publié un livre blanc présentant
en détail les outils utilisés par les Dukes. Nous pensons
que ce groupe de cyber espionnage hautement spécialisé,
extrêmementbienorganiséetdotédenombreusesressources
travaille pour la Fédération de Russie depuis au moins 2008
dans le but de recueillir des renseignements permettant
d'influer sur les décisions prises en matière de politiques de
sécurité et d'affaires étrangères.
Vers
Éternel leader du classement des détections de menaces, le
vieillissant Downadup (alias Conficker) a conforté à lui seul les
vers dans une position prédominante. En parallèle, leur visibilité
s'est trouvée globalement accrue grâce à l'émergence de
plusieurs familles parvenues à se propager dans les réseaux de
certaines régions du monde.
La plus remarquable de ces nouvelles familles est Njw0rm,
un ver VBS qui s'infiltre via des lecteurs amovibles, des pièces
jointes malveillantes à des e-mails et des téléchargements à la
dérobée. Essentiellement conçu pour voler des informations, il
a la capacité d'ouvrir des backdoors. Njw0rm a vu ses détections
nettement augmenter au second semestre 2015 par rapport au
premier, mais son action a été largement suffisante pour en faire
la nouvelle famille de malware la plus importante de l'année.
Le ver Dorkbot a, lui aussi, fait des dégâts. Il affiche de
nombreuses caractéristiques en commun avec Njw0rm. Tous
deux s'insinuent par le biais de lecteurs amovibles. Tous deux
ouvrent des backdoors, volent des informations et peuvent
communiquer avec des serveurs distants afin de recevoir des
instructions complémentaires de la part des cyber criminels.
Toutefois, Dorkbot est aussi capable de se propager en
intégrant des liens malveillants à des messages instantanés ou
sur les réseaux sociaux.
Troisième nouvelle famille remarquée, Ippedo a fait l'objet d'un
assez grand nombre de signalements pour entrer dans la liste
des principales menaces de 2015. Il s'agit là encore d'un voleur
d'informations distribué via des lecteurs amovibles. Cependant,
il ne semble pas capable de se propager par d'autres moyens,
ce qui réduit considérablement son importance par rapport aux
autres familles.
Considérés comme un type de menace au sens large, les vers
ont significativement gagné en ampleur l'an dernier. En 2015,
les familles de vers représentaient en effet 18 % du total des
détections de malware, contre 12 % en 2013 et 10 % en 2014.
Toutefois, à l'exception du tristement célèbre ver Downadup
(prédominant partout dans le monde), la plupart de ces
familles ont seulement été repérées en Asie, au Moyen-Orient
et, dans une moindre mesure, en Amérique du Sud. Malgré
cette poussée, le cheval de Troie (par exemple, Gamarue ou
Kilim) est resté le type de malware le plus souvent rencontré
en 2015.
Exploits et kits d'exploitation
Très présents en 2015, les exploits se sont montrés actifs dans
plusieurspays.Lekitd'exploitationAnglers'estparticulièrement
illustré dans diverses régions du monde, régnant au Royaume-
Uni, en Suède et en Australie.
S'il disposait de l'arsenal le plus complet d'exploits déployé
l'an dernier, sa réussite (et celle des kits d'exploitation en
général) semble en partie due à son utilisation de plus en plus
efficace de différents vecteurs d'attaque. La prédominance des
signalements de la détection générique Trojan:JS/Redirector
en apporte la preuve. Les pirates introduisent ce type de cheval
de Troie sur des sites web légitimes afin de rediriger leurs
visiteurs vers d'autres sites hébergeant des kits d'exploitation,
notamment Angler et Nuclear. Cette attaque a été si répandue
l'an dernier qu'elle s'est vu décerner le titre peu glorieux de
menace principale en Suisse et au Danemark.
De leur côté, les vulnérabilités Flash ont grandement contribué
à la réussite des exploits, et ce même indépendamment des kits
d'exploitation. En effet, les exploits identifiés par la détection
générique Exploit:SWF/Salama ont compté parmi les menaces
les plus présentes, notamment en Europe et aux États-Unis. Bien
qu'elles ne jouissent pas de la même ampleur qu'Angler, ces
deux types d'attaques ont ciblé le nombre apparemment infini
d'internautes qui exécutent des versions vulnérables de Flash.
Dans l'ensemble, la menace représentée par les exploits n'a
pas énormément évolué par rapport aux années précédentes.
MALWARE PAR TYPE
2015
2014
2013
VER
CHEVAL
DETROIE
EXPLOIT
VIRUS
BACKDOOR
AUTRES
67 18 8 6 1 1
VER
CHEVAL
DETROIE
EXPLOIT
VIRUS
BACKDOOR
AUTRES
73 10 8 6 1 1
VER
CHEVAL
DETROIE
EXPLOIT
VIRUS
AUTRES
BACKDOOR
63 12 11 9 4 1
POURCENTAGES DES DÉTECTIONS DE
MALWARE SIGNALÉES
Ils s'en prennent toujours aux particuliers et entreprises qui
utilisent des logiciels dépassés ou non corrigés (par exemple, les
exploitsWormLinkleurdemandentd'ouvrirunfichiercontenant
un code qui exploite une vulnérabilité). Comme en 2014, ils ont
constitué 8 % du total des détections de malware. Toutefois,
leur contenu malveillant (entre autres, des ransomware) s'est
diversifié et aggravé : il est donc plus que jamais nécessaire
de mettre à jour ses logiciels dès la publication de nouveaux
correctifs de sécurité.
Macro-malware
L'année 2015 nous a offert une évolution intéressante avec
le retour des macro-malware. Ces documents contenant du
code malveillant dissimulé ont marqué la fin des années 1990 et
le début des années 2000. Mais lors du lancement de la suite
Office 2003, Microsoft a modifié les paramètres de sécurité par
défaut pour empêcher l'activation automatique des macros à
l'ouverture d'un document, compliquant considérablement la
tâche des pirates.
Pourtant, à partir de juin 2015, les macro-malware ont retrouvé
une place de choix dans les rapports de télémétrie. Loin de
figurer parmi les menaces prédominantes, ils ont néanmoins fait
leur petit effet dans plusieurs pays d'Europe. Ils se propagent
principalement grâce aux pièces jointes des e-mails et utilisent
des techniques d'ingénierie sociale pour pousser les internautes
à ouvrir les documents et à activer les macros, ce qui entraîne
l'exécution du code malveillant.
Les macro-malware et les exploits se ressemblent de par leur
intention commune, à savoir attaquer en vue d'injecter du
contenu malveillant. En 2015, il s'agissait notamment de graves
menaces telles que le cheval de Troie bancaire Dridex et de
crypto-ransomware tels que CryptoWall.
Malware Android
En 2015, l'écosystème Android a vu Slocker s'élever au rang des
menaces prépondérantes. Même si les principaux chevaux de
Troie envoyeurs de SMS sont restés très présents, notamment
en France, la popularité croissante de Slocker marque un
tournant dans le domaine des malware mobiles, qui ciblent
maintenant davantage le contenu stocké sur les périphériques.
L'action des backdoors (dont CoudW) indique également une
évolutionaccruedestypesdecontaminationvisantlessystèmes
d'exploitation par rapport aux années précédentes.
Mac et iOS
Les backdoors représentaient le type de malware le plus souvent
détecté sur les systèmes d'exploitation Apple en 2014, ce qui
offrait un contraste intéressant à la domination sans partage des
chevaux de Troie sur Windows et Android.
En 2015, l'écosystème Apple a subi sa plus terrible attaque à
ce jour. En effet, durant l'« incident XcodeGhost », des pirates
sont parvenus à s'introduire dans le très sécurisé App Store
en infectant des copies de Xcode, l'outil de développement
d'applications d'Apple, disponibles sur des forums de
téléchargement public chinois. Ce faisant, ils ont réussi à insérer
du code malveillant dans des applications qui étaient ensuite
proposées sur l'App Store.
Ces pirates ont tiré parti de la situation toute particulière de
la Chine, où les développeurs qui ont du mal à accéder aux
serveurs de téléchargements d'Apple situés à l'extérieur du pays
se tournent vers des sources locales pour obtenir une copie de
l'outil souhaité. C'est ce qui a permis que leurs applications, ainsi
infectées, arrivent sur l'App Store.
PAYS QUI EN SIGNALENT LE PLUS
L'illustration ci-dessus représente le volume des
signalements de détections que nous avons reçus pour
chaque pays par rapport à sa population d'internautes
(ceux qui utilisent nos produits de sécurité).
Par exemple, malgré son grand nombre d'internautes,
peu de signalements nous sont parvenus de la Finlande
comparativement à Oman, qui conjugue vaste
population d'internautes et taux de détection élevés.
Démasquage des Dukes
Les APT sont des programmes perfectionnés, en général conçus
spécifiquement dans le but de s'insinuer et rôder en toute
discrétion dans les réseaux et les systèmes d'exploitation. Ces
menaces silencieuses visent les entreprises qui traitent des
affaires ou des informations de production confidentielles. En
2015, le Laboratoire F-Secure a publié un livre blanc exposant
le groupe de cyber espionnage à l'origine de cette menace :
les Dukes, créateurs d'une série d'outils utilisés depuis 2008 et
développés en continu au cours de ces sept dernières années.
Leurs outils (CozyDuke, MiniDuke, HammerDuke et SeaDuke,
entreautres)intègrenttousdesfonctionsvariéestellesquelevol
de mots de passe, l'ouverture d'une backdoor et le lancement
d'attaques par déni de service distribué (DDoS – Distributed
Denial of Service).
Bien qu'il soit peu probable que le commun des internautes
le rencontre un jour, cet arsenal très ciblé concerne plus
précisémentetplusdirectementceuxquisontliésàdessociétés
ou des organes gouvernementaux présentant un intérêt pour
les Dukes.
Oman
Philippines
Malaisie
Argentine
Colombie
Mexique
Égypte
Équateur
IranEAU
Turquie
Tunisie
Roumanie
Maroc
Bulgarie
Taïwan
Grèce
Ukraine
Russie
Hongrie
CoréeduSud
Serbie
SriLanka
Inde
Chili
Chine
Pays-Bas
France
États-Unis
Royaume-Uni
Portugal
HongKong
Pologne
Italie
Australie
AfriqueduSud
Canada
Espagne
RépubliqueTchèque
Slovénie
Suisse
Croatie
Allemagne
Singapour
Estonie
Japon
FinlandeDanemark
Irlande
Autriche
Belgique
ThaïlandeBrésil
Norvège
Suède
Les vers ont significativement gagné en ampleur
en 2015 par rapport aux deux années précédentes.
7. 1312
PRINCIPALES FAMILLES
DE MALWARE
En général, deux programmes malveillants qui
partagent un code ou un comportement spécifique
sont considérés comme membres d'une même famille.
Les logiciels de sécurité repèrent souvent les différentes
menaces d'une famille au moyen d'une détection qui
identifie leurs caractéristiques communes.
Les principales menaces observées en 2015 qui
appartenaient à des familles distinctes de malware
sont répertoriées à droite. La taille des bulles est
proportionnelle à leur pourcentage du total des
détections de malware par nos produits de sécurité sur
l'ensemble de l'année.
TENDANCES DES
PRINCIPALES FAMILLES
JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC
0,0
0,4
0,2
0,6
POURCENTAGEDUTOTALDESDÉTECTIONS
DEMALWARESIGNALÉESEN2015
MOIS (2015)
Njw0rm
ver
Gamarue
cheval de
Troie
Angler
kit
d'exploitation
Dorkbot
ver
Ippedo
ver
WormLink
exploit
Les principales familles présentées ont connu des pics d'activité manifestes tout au long de l'année
2015. Les détections de nouvelles familles de vers ont enregistré une hausse significative au second
semestre. Les variations de leur prédominance respective sont attribuables à plusieurs causes, par
exemple la distribution plus active des malware par le biais de campagnes de hameçonnage ou un
changement dans la logique de détection d'une famille spécifique.
PRINCIPALES
MENACES Njw0rm
ver
Gamarue
cheval de
Troie
Angler
kit d'ex-
ploitation
Worm-
Link
exploit
Dorkbot
ver
Kilim
cheval de
Troie
Nuclear
kit d'ex-
ploitation
Dridex
cheval de
Troie-télé-
chargeur
Ippedo
ver
Trojan.LNK.Gen
Sality
bot
Downadup
ver
(Conficker)
Trojan:
W32/
Autorun
Exploit:
Java/
Majava
Ramnit
bot
Trojan:
JS/
Redirector
Worm:
W32/
Kataja
PRINCIPAUX GÉNÉRIQUES ET
FAMILLES HÉRITÉES
Certains malware persistent durant des années. Ils
forment des « familles héritées » dont la longévité
s'explique de multiples manières, notamment par
l'infection de nouveaux internautes ou l'altération d'un
malware existant afin de réattaquer les mêmes cibles.
Certains malware échappent aux détections de famille,
mais pas aux détections génériques qui recherchent des
caractéristiques globalement similaires.
Les principales menaces observées en 2015 sont
répertoriées à droite. Elles comprennent aussi bien
les familles héritées que les détections génériques
(identifiées par leur nom complet). La taille des bulles
est proportionnelle à leur pourcentage du total des
détections de malware par nos produits de sécurité sur
l'ensemble de l'année.
TENDANCES DES PRINCIPAUX
GÉNÉRIQUES ET FAMILLES HÉRITÉES
Trojan:
W97M/
Malicious
Macro Exploit:
SWF/
Salama
JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC
0,0
0,2
0,4
0,6
0,8
1,0
1,2
MOIS (2015)
Trojan.LNK.Gen
(cheval de Troie
« raccourcis »)
Downadup ver
(Conficker)
Worm:W32/Kataja
Sality bot
Ramnit
bot
Trojan:W32/Autorun
Exploit:Java/Majava Trojan:W97M/
MaliciousMacro
Exploit:SWF/Salama
POURCENTAGEDUTOTALDESDÉTECTIONS
DEMALWARESIGNALÉESEN2015
Trojan:JS/Redirector
Sur ce graphique, les zones colorées représentent
les détections génériques, tandis que les lignes
représentent les familles de malware. Alors que
Trojan.LNK.Gen a sensiblement reculé à l'automne,
la progression des chevaux de Troie en juin marque le
grand retour des macro-malware.
8. 1514
JANV
FÉV
MARS
AVR
MAI
JUIN
JUIL
AOU
SEP
OCT
NOV
DÉC
7 3 9 9 5 2 39 14 9 3 9 6
TOTAL DES ÉCHANTILLONS
(DEPUIS JANVIER)
NOMBRE D'ÉCHANTILLONS
REÇUS PAR MOIS
7 10
19
28
33 35
74
88
97 100
109
115
13+87+x CHEVAL DE TROIE
13 % (15 ÉCHANTILLONS)
73 % du total des échantillons
de chevaux de Troie
appartiennent à la famille
Flashback, un groupe de
malware qui téléchargent
des fichiers malveillants en se
connectant à un site distant.
58+42+x BACKDOOR
58 % (67 ÉCHANTILLONS)
La disponibilité du code source
pourrait en partie contribuer à
la proportion considérable des
backdoors parmi les menaces
visant Mac OS X.
2+98+x EXPLOIT
1 % (1 ÉCHANTILLON)
Exploit:OSX/CVE-2009-1237
tire parti d'une vulnérabilité
ancienne, possible cause de
déni de service.
28+72+x AUTRES
28 % (32 ÉCHANTILLONS)
Les autres menaces repérées
comprennent les applications
potentiellement indésirables
(API).
115
Nombre de malware Mac reçus
de
ÉCHANTILLONS
DISTINCTS
JANVIER à DÉCEMBRE 2015
MALWARE MAC
MALWARE ANDROID
SMSSEND
CHEVAL DE TROIE
Envoie des SMS à des
numéros surfacturés à
l'internaute.
1
SLOCKER
CHEVAL DE TROIE
Chiffre des fichiers
image, texte et vidéo,
puis exige une rançon
pour déverrouiller
les périphériques et
déchiffrer les fichiers.
2 FAKEINST
CHEVAL DE TROIE
Ressemble à un programme
d'installation d'une
application populaire, mais
envoie en fait des SMS à
des numéros ou services
surfacturés.
3
25+75+N
Le TOP 10 DES MALWARE ANDROID représente 25 % du
total des malware Android détectés en 2015.
25 %
GINMASTER
CHEVAL DE TROIE
Vole des informations
confidentielles sur les
périphériques touchés et
les communique à un site
web distant.
4
GINGERBREAK
EXPLOIT
Exploite une vulnérabilité
des systèmes Android
antérieurs à la version
2.34 en vue d'accéder
aux privilèges racine des
périphériques touchés.
5
SMSPAY
CHEVAL DE TROIE
Envoie des SMS à des
numéros surfacturés à
l'internaute.
6
DROIDROOTER
EXPLOIT
Accède aux privilèges
racine. Sert aussi d'outil de
piratage si délibérément
exécuté, en vue d'une
prise de contrôle racine.
7
DIALER
CHEVAL DE TROIE
Affiche constamment une
page plein écran à caractère
pornographique qui exhorte
l'internaute à composer un
numéro de téléphone.
8 SMSKEY
CHEVAL DE TROIE
Envoie des SMS à des
numéros surfacturés à
l'internaute.
9
COUDW
CHEVAL DE TROIE
Ouvre une backdoor qui
permet aux pirates de
prendre le contrôle des
périphériques touchés.
10
TOP 10DESMALWAREANDROID
15 %
2,5 %
2,3 %
1,7 %
1,2 %
0,5 %
0,5 %
0,4 %
0,3 % 0,2 %
EUROPE
Finlande
Signalement d'un nombre élevé
de détections de Trojan:JS/
Redirector, ainsi que des
menaces Downadup et Angler.
France
Seul pays signalant un nombre
significatif de chevaux de Troie
SmsSend sur Android. Détections
fréquentes de Downadup et
Trojan:JS/Redirector.
Royaume-Uni
Nombreux signalements du
kit d'exploitation Angler, de
Trojan:W97M/MaliciousMacro
et de Trojan:JS/Redirector.
Italie
Seul pays signalant une présence
significative du malware de vol bancaire
Expiro. Détections fréquentes de
Downadup et Trojan:W32/Autorun.
Danemark
Signalement de Trojan:JS/
Redirector, d'Exploit:W32/
OfficeExploitPayload et d'Angler
comme menaces les plus
fréquentes.
Suède
Signalement des kits d'exploitation
Angler et Nuclear, ainsi que de
Trojan:JS/Redirector comme menaces
les plus fréquentes.
Allemagne
Signalement d'un nombre élevé
de détections de Downadup,
d'Exploit:W32/OfficeExploitPayload
et de Trojan:JS/Redirector.
Autriche
Seul pays signalant une présence
significative du cheval de Troie
bancaire Banker. Détections
fréquentes des chevaux de Troie
FakePDF Trojan:JS/Redirector.
Suisse
Signalement de Trojan:JS/Redirector
et du kit d'exploitation Angler
essentiellement, avec Exploit:SWF/
Salama comme troisième menace la
plus fréquente.
MENACES PAR ZONE
GÉOGRAPHIQUE
Bien que les dix principales menaces se soient peu ou prou retrouvées
dans pratiquement tous les pays en 2015, les rapports de télémétrie
des internautes qui utilisent nos produits dans chaque région du
monde présentaient des profils de menaces distincts. L'Europe a été
particulièrementtouchéeparlekitd'exploitationAngler.Deplus,ellea
fréquemment été la cible du cheval de Troie Trojan:JS/Redirector ainsi
que d'attaques par fichiers contenant des macros qui téléchargent des
ransomware. Certains pays d'Europe ont signalé des taux élevés de
menaces particulières.
Pologne
Signalement de Trojan:W32/Autorun et du
kit d'exploitation Angler comme menaces
les plus fréquentes. Seul pays avec présence
significative du virus Virtob.
9. 16
Afrique
Les signalements les plus
courants concernent les
fichiers de raccourcis
malveillants, suivis par ceux du
ver Ippedo et du bot Sality.
Moyen-Orient
Le ver Downadup reste la menace
la plus fréquemment signalée,
suivie par les fichiers de raccourcis
malveillants et le ver Njw0rm.
Amérique du Sud
Les fichiers de raccourcis
malveillants constituent
les malware les plus
courants, talonnés par
les vers Downadup et
Njw0rm.
Asie
Les internautes ont le plus souvent
été victimes de fichiers de raccourcis
malveillants ainsi que des vers Downadup
et Njw0rm. Les menaces liées aux botnets
(Sality et Ramnit) ont aussi fait l'objet de
signalements fréquents.
RESTE DU MONDE
Océanie
Les fichiers de raccourcis
malveillants et Angler ont fait
l'objet du plus grand nombre
de signalements. Les exploits
WormLink se sont également
distingués.
États-Unis
Les internautes ont signalé la
prédominance du kit d'exploitation
Angler et d'Exploit:SWF/Salama, suivis
par Trojan:JS/Redirector.
Japon
Outre la constante présence
de Downadup, les internautes
ont le plus souvent signalé
des détections d'Angler et de
Trojan:W32/Autorun.
Brésil
Outre la constante présence de
Downadup, les internautes ont signalé la
prépondérance de Trojan:JS/Redirector
et du kit d'exploitation Angler.
Des rapports de télémétrie concernant
d'autres régions que l'Europe ont fait état
d'une plus grande variété de malware,
certains pays apparaissant plus touchés que
la moyenne par un type particulier dans leur
zone géographique.
Inde
Le ver Downadup a été la menace la
plus souvent signalée, suivie par le
bot Sality et le ver Njw0rm.
Oman
Les internautes ont signalé la
présence significative des vers
Njw0rm et Dorkbot, ainsi que
de Worm:W32/Kataja.
Australie
Le kit d'exploitation Angler,
les exploits WormLink et
Trojan:W97M/MaliciousMacro
ont été les menaces les plus
signalées.
Amérique du Nord
La menace prédominante est le kit d'exploitation
Angler, suivi par les exploits Salama qui ciblent les
vulnérabilités Flash Player.
03
ÉTUDESDECAS
18 Effraction dans le jardin clos
20 Présentation des Dukes
17
10. 1918
À l'heure actuelle, la plupart des attaques visent les
internautes. Les pirates aiment notamment les piéger de
façon à leur faire télécharger et installer eux-mêmes des
malware à leur insu (cette tactique est connue sous le nom
d'« ingénierie sociale »). Ils affectionnent également une
autre méthode, pourtant techniquement complexe, qui
consiste à exploiter des failles ou des lacunes permettant
d'infecter discrètement les périphériques des internautes.
Ces points faibles se trouvent en général au sein d'une
application ou d'un appareil. Ils sont plus rarement le fait
d'un programme, d'un processus ou d'un système sans
rapport direct avec l'internaute touché.
Cependant,certainspiratespréfèrentlescheminsdétournés.
Ainsi, fin 2015, l'App Store d'Apple a enregistré une série
d'incidents mettant en évidence les ramifications possibles
des attaques qui obéissent à une autre tactique : le ciblage
des développeurs. Ces incidents résultaient de l'utilisation
d'outils infectés par des développeurs, qui avaient ainsi créé
à leur insu des applications au comportement malveillant.
Celles-ciontréussiàpasseroutrelesprocéduresdecontrôle
de code d'Apple pour s'immiscer dans la plateforme et, de
là, dans les périphériques iOS standard des internautes.
RETRAIT DES APPLICATIONS XCODEGHOST DE
L'APP STORE
Apple soumet tous les programmes qui lui sont proposés à un
mécanisme de contrôle rigoureux avant de les ajouter à son
référentiel de logiciels, réputé merveilleusement exempt de
comportement malveillant. Le tout premier malware détecté
sur l'App Store en 2012 [1]
était l'application Find Call, qui
utilisait les coordonnées stockées sur l'appareil touché pour
envoyer du courrier indésirable. Au cours des trois années
suivantes, seuls deux ou trois incidents relativement mineurs
se sont produits et les applications non conformes aux règles
strictes d'Apple se sont vues exclues de sa boutique.
En septembre 2015, cette situation idyllique a brusquement
tourné au cauchemar lorsqu'Apple a annoncé avoir retiré
de l'App Store plusieurs applications contaminées par un
programme malveillant du nom de XcodeGhost. Selon les
journalistes, plus de 30 applications étaient touchées mais
certains ont ultérieurement porté ce bilan à plus de 300[2,3]
.
Le point le plus remarquable de cet incident était qu'au
moins une partie des applications concernées provenaient
d'entreprises fiables et renommées dans le secteur du
développement de logiciels. La plus connue était sans doute
l'éditeur de WeChat, un programme de messagerie très
répandu. D'autres applications (Railway 12306, Camcard et
NetEase Cloud Music, entre autres) comptaient des millions,
voire des dizaines de millions d'adeptes. Si la majorité d'entre
eux se trouvaient en Chine continentale, bon nombre des
applications touchées étaient également utilisées dans
d'autres régions du monde, dont les États-Unis et l'Europe.
EFFRACTION
DANS LE
JARDIN CLOS
Les chercheurs des entreprises Weibo, Alibaba et Palo Alto
Networks, notamment, ont identifié la source du problème,
à savoir une version contaminée de l'outil de développement
Xcode d'Apple. Disponible gratuitement sur les serveurs de
la société, Xcode sert à compiler des applications destinées
aux plateformes iOS et Mac OS X. Toutefois, comme c'est le
cas pour de nombreux autres programmes commerciaux ou
d'entreprise, des services de partage de fichiers en proposent
des copies téléchargeables aux développeurs qui, pour une
raison quelconque, n'ont pas accès à la plateforme officielle.
Selonlesjournalistes,laconnexionInternetaurestedumonde
étant ce qu'elle est en Chine continentale, l'accès aux serveurs
situés à l'extérieur du pays se trouve nettement ralenti, surtout
pour y télécharger des fichiers volumineux (environ 3,5 Go
pour la dernière version de Xcode). Cette difficulté a incité
de nombreux développeurs à se servir de copies de l'outil
hébergéessurdesserveurssituésenChine.Malheureusement,
des lignes de code avaient été ajoutées à certaines d'entre
elles. Lorsque les développeurs compilaient leurs applications
respectives à l'aide du programme Xcode contaminé, ce code
supplémentaire s'y introduisait discrètement à leur insu.
Le code supplémentaire visait à communiquer des
informations stockées sur les périphériques touchés à un
serveur distant. Cependant, les chercheurs ont vite remarqué
qu'il n'existait aucune trace de dommage ni de vol de données
effectif. Il a néanmoins été recommandé aux internautes
ayant téléchargé des applications infectées de les supprimer
de leurs appareils ainsi que de changer leurs données de
connexion aux comptes de messagerie ou de réseaux sociaux
associés à ces applications en attendant que les développeurs
en fournissent une version propre.
AUTRE VICTIME : LA PLATEFORME UNITY
Peu après l'annonce de l'incident XcodeGhost, les chercheurs
en sécurité chez PwC ont déclaré que des copies clonées
de la plateforme Unity en cours de distribution avaient subi
une modification similaire, ce qui a valu à ces clones le nom
d'UnityGhost [4]
. Unity est un environnement commercial de
développement tiers qui permet de créer des applications
iOS (ainsi que des programmes destinés à d'autres systèmes
comme Android et Windows). Par chance, dans ce cas, aucune
application élaborée avec une copie contaminée ne s'est
retrouvée sur l'App Store.
RETRAIT DES APPLICATIONS COMPILÉES AVEC
YOUMI
Un mois plus tard, nouvel incident du même genre : des
applications étaient supprimées de l'App Store, car elles
recueillaient des informations concernant les internautes
et leurs appareils [5]
. Dans ce cas, elles avaient été élaborées
à l'aide du kit de développement logiciel (SDK – Software
Development Kit) tiers Youmi, qui permettait d'y intégrer
des publicités. Là encore, les développeurs ignoraient que
leurs créations étaient infectées de façon à passer outre les
strictes procédures de sécurité et de confidentialité mises en
place par Apple. Bien que la société n'ait pas précisé le nombre
d'applications retirées à cette occasion, la presse l'a estimé
à « plus de 250 ». Par ailleurs, l'entreprise basée en Chine à
l'origine du SDK Youmi a publié des excuses officielles [6]
et
spécifié qu'elle « collaborait avec Apple pour résoudre ce
problème ».
CIBLAGE DES DÉVELOPPEURS
Collectivement, ces incidents démontrent clairement que les
remparts protégeant l'App Store ne sont pas inviolables et
qu'il est possible d'atteindre les propriétaires de périphériques
iOS en passant d'abord par les développeurs d'applications. En
effet, à chaque fois, l'outil de développement utilisé en toute
innocenceavaitétémodifiédefaçonàintroduirediscrètement
un code malveillant dans le produit fini.
Cetyped'attaquen'étaitpastoutàfaitnouveau :ainsi,en2010,
un virus avait été décelé qui introduisait du code indésirable
dans chaque fichier exécutable créé avec le programme
Delphi [7, 8]
. En revanche, le dernier incident en date a eu sur
l'App Store des répercussions publiques sans précédent.
Aujourd'hui, la plupart des détenteurs d'appareils mobiles
ne prêtent plus trop attention à l'avertissement standard :
« Méfiez-vous des boutiques d'applications tierces ».
Manifestement, les développeurs ne sont pas plus à l'abri
que les « internautes lambda » des motifs qui poussent le plus
couramment à utiliser quand même ces sources, à savoir :
l'insuffisance de la bande passante, l'accès restreint aux sites
web étrangers et l'alléchante disponibilité garantie par les
référentiels tiers. Dans le but de remédier au moins en partie à
cette situation, la société Apple a annoncé qu'elle prévoyait de
rendre le programme officiel Xcode plus facilement accessible
aux développeurs en Chine en le proposant également sur des
serveurs installés dans le pays [9]
.
Malgré cette récente mésaventure, l'App Store reste plus
difficile à pirater que l'écosystème Android (où le vecteur
d'attaque le plus simple et le plus efficace reste l'ingénierie
sociale).Toutefois,iln'estpasinviolable.Lesincidentssurvenus
soulignent combien il est essentiel de maintenir un contrôle
rigoureux tout au long du processus de développement. En
effet, non seulement une contamination d'une telle ampleur
met en péril la sécurité des internautes, mais elle ternit la
réputation et l'image de fiabilité des développeurs concernés
ainsi que de l'App Store même.
DÉVELOPPEURS
D'APPLIS
APP
STORE
Appli + code
malveillant
Appli propre
SOURCE TIERCEAPPLE
PIRATE
CONTAMINATION
AU STADE DE DÉVELOPPEMENT
Données
collectées
DÉTENTEURS
D'APPLICATIONS
Sources répertoriées à la page 38.
11. L'HISTOIRE
John Kasai de Klagenfurt
Enregistrement d'un
vaste groupe de noms de
domaine sous l'alias « John
Kasai » de Klagenfurt, en
Autriche. Ces domaines
sont ensuite utilisés lors
de campagnes des Dukes
jusqu'en 2014.
Dans l'ombre
Les Dukes se font
discrets en 2012.
Utilisation active mais
mises à jour mineures
de CosmicDuke
et MiniDuke. En
revanche, utilisation
moindre mais mises
à jour majeures
de GeminiDuke et
CozyDuke.
Tchétchénie
Deux campagnes
PinchDuke repérées
en novembre 2008,
avec des références
à deux sites web
turcs comprenant du
contenu relatif à la
Tchétchénie.
Campagnes contre
l'Occident
PinchDuke lance deux
grandes campagnes
groupées. La première cible
un groupe de réflexion
spécialisé en politique
d'affaires étrangères
basé aux États-Unis ainsi
que des institutions
gouvernementales en
Pologne et en République
tchèque. La seconde vise à
collecter des informations
concernant les relations
entre la Géorgie et l'OTAN.
CosmicDuke dans le
Caucase
PinchDuke poursuit ses
campagnes contre des
pays du Caucase (Turquie,
Géorgie, Kazakhstan,
Kirghizistan, Azerbaïdjan
et Ouzbékistan) tout
en passant le relais en
douceur à un nouvel outil :
CosmicDuke. Enrichissement de
l'arsenal des Dukes
MiniDuke et CozyDuke
entrent en scène. Le
premier s'articule autour
d'une backdoor toute
simple tandis que le second
est plus polyvalent grâce
ses divers modules.
PinchDuke et
GeminiDuke
Deux outils auraient
été développés en
2008 : (1) PinchDuke,
lancé dans l'année et
(2) GeminiDuke, lancé
en janvier 2009.
MiniDuke se fait
remarquer
MiniDuke attire
l'attention des
chercheurs en sécurité,
qui en dissèquent des
échantillons et publient
leurs conclusions.
Cas particulier :
OnionDuke
OnionDuke fait ses
débuts, avec sa capacité
à voler des mots de
passe, collecter des
données, lancer des
attaques DoS et publier
du courrier indésirable.
Les Dukes et l'Ukraine
En 2013, bon nombre
de documents
pièges utilisés lors de
campagnes des Dukes
concernent l'Ukraine.
Une fois la crise
politique déclarée dans
le pays et la position
de la Russie connue,
l'Ukraine n'intéresse plus
les Dukes.
CosmicDuke en lutte
contre la drogue
En septembre 2013, une
campagne CosmicDuke
vise des intervenants
russes impliqués dans
le trafic de substances
illicites et réglementées.
MiniDuke renaît de ses
cendres
Après avoir ralenti ses
activités en 2013 pour rester
discret, MiniDuke opère
un retour en force en 2014.
Doté de composants revus
et corrigés, il devient plus
furtif.
CosmicDuke et son quart
d'heure de gloire
F-Secure et Kaspersky
publient des recherches
sur CosmicDuke. Malgré
ces révélations, les Dukes
préfèrent poursuivre leurs
opérations plutôt que de se
cacher.
CozyDuke et les vidéos
de singes
CozyDuke envoie des
e-mails de harponnage
contenant une vidéo Flash
piège d'une publicité du
Super Bowl 2007, mettant
en scène des singes dans
un bureau.
OnionDuke pris la main
dans le sac du nœud Tor
En octobre 2014, Leviathan
Security Group découvre
un nœud de sortie Tor
malveillant. L'enquête
F-Secure révèle qu'il
servait à infecter des
fichiers exécutables avec
OnionDuke. Cette variante
n'était pas destinée à lancer
des attaques ciblées mais
plutôt à former un petit
botnet.
Les Dukes se dépassent
Janvier 2015 marque le
début de la plus importante
campagne des Dukes à
ce jour, qui repose sur
l'envoi massif d'e-mails de
harponnage. CozyDuke
poursuit ses opérations,
relayé ensuite par SeaDuke
et HammerDuke. SeaDuke,
en langage Python,
fonctionne sur Windows et
sur Linux. HammerDuke, en
langage .NET, fonctionne
seulement sur Windows.
CloudDuke
Lancement d'une nouvelle
grande campagne de
hameçonnage en juillet
2015 avec un nouvel
outil baptisé CloudDuke.
Opération en deux vagues.
CosmicDuke poursuit ses
frappes chirurgicales
En parallèle des campagnes
d'envergure de CozyDuke
et CloudDuke, CosmicDuke
se concentre sur de
discrètes frappes ciblées.
PRÉSENTATION
DUKESDES
Les membres des Dukes forment un groupe de cyber
espionnage hautement spécialisé, extrêmement bien
organisé et doté de nombreuses ressources. Nous pensons
qu'ils travaillent pour la Fédération de Russie depuis au
moins 2008 dans le but de recueillir des renseignements
permettant d'influer sur les décisions prises en matière
de politiques de sécurité et d'affaires étrangères.
2008 2009 2010 2011 2012 2013 2014 2015
PIÈGES
EXPLOITATION DE
VULNÉRABILITÉS
Des e-mails de
harponnage
contenant des pièces
jointes malveillantes
ou des liens vers des
URL hébergeant des
malware infectent
plusieurs victimes.
Une exploitation
Zero Day utilise
CVE-2013-0640 pour
déployer MiniDuke.
Des exploits
disponibles
sont utilisés au
sein de vecteurs
d'infection et de
malware.
VECTEURS
D'INFECTION
Des images,
documents et
vidéos Flash sont
employés comme
fichiers pièges au
sein de vecteurs
d'infection.
RÔLE ET PARRAINAGE
PAR L'ÉTAT
Les Dukes
seraient un
groupe de cyber
espionnage
soutenu par
les autorités
gouvernementales
russes.
Cibles : entités
intervenant dans
le domaine des
politiques de
sécuritéetd'affaires
étrangères.
Mission : recueillir
des renseignements
permettant d'influer
sur les politiques de
sécurité et d'affaires
étrangères.
LES
OPÉRATIONS
Les victimes peuvent se
trouver de nouveau infectées
par un autre outil malveillant
de l'arsenal des Dukes.
Exemple : les victimes de
CozyDuke sont aussi touchées
par SeaDuke, HammerDuke
ou OnionDuke.
L'une des
variantes
d'OnionDuke se
propage via un nœud
Tor malveillant qui
insère un cheval de Troie
au sein d'applications
légitimes.
Novembre 2008
-
HTTP(S)
Chargeurs, voleur
d'informations
Début :
Alias :
Communication :
Composants :
Début :
Alias :
Communication :
Composants :
Janvier 2009
-
HTTP(S)
Chargeurs, voleur
d'informations,
composants persistants
Début :
Alias :
Communication :
Composants :
Janvier 2010
Tinybaron,
BotgenStudios,
NemesisGemina
HTTP(S), FTP, WebDav
Chargeurs, voleur d'informations,
mécanisme d'élévation de privilèges,
composants persistants
Début :
Alias :
Communication :
Composants :
Juillet 2010 (chargeur),
mai 2011 (backdoor)
-
HTTP(S), Twitter
Téléchargeur,
backdoor, chargeur
Début :
Alias :
Communication :
Composants :
Janvier 2010
CozyBear, CozyCar,
Cozer, EuroAPT
HTTP(S), Twitter
(sauvegarde)
Injecteur, backdoor modulaire, composants
persistants, module de collecte
d'informations, module de capture d'écran,
voleur de mots de passe, voleur de hachage
du mot de passe
Début :
Alias :
Communication :
Composants :
Février 2013
-
HTTP(S), Twitter
(sauvegarde)
Injecteur, chargeur,
composants clés modulaires, voleur
d'informations, module DDoS, module
de collecte d'informations, voleur de
mots de passe, expéditeur de courrier
indésirable sur les réseaux sociaux
Début :
Alias :
Communication :
Composants :
Octobre 2014
SeaDaddy, SeaDask
HTTP(S)
Backdoor
Début :
Alias :
Communication :
Composants :
Janvier 2015
HAMMERTOSS,Netduke
HTTP(S), Twitter
Backdoor
Début :
Alias :
Communication :
Composants :
Juin 2015
MiniDionis, CloudLook
HTTP(S), Microsoft
OneDrive
Téléchargeur,
chargeur, deux variantes de backdoor
Les Dukes sont connus pour leur vaste arsenal de malware que nous
avons identifiés par les noms PinchDuke, GeminiDuke, CosmicDuke,
MiniDuke, CozyDuke, OnionDuke, SeaDuke, HammerDuke et
CloudDuke.
Ces dernières années, le groupe s'est lancé dans de grandes
campagnes semestrielles de harponnage visant des centaines,
voire des milliers de destinataires liés à des institutions
gouvernementales et entités connexes.
THE DUKES: 7 YEARS OF RUSSIAN CYBERESPIONAGE
https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf
La recherche concernant les Dukes est publiée dans son intégralité sur le site web
du Laboratoire F-Secure.
LESOUTILS
GEMINIDUKE
COSMICDUKE
MINIDUKE
COZYDUKE
ONIONDUKE
SEADUKE
HAMMERDUKE
CLOUDDUKE
PINCHDUKE
12. 23
04
CHAÎNEDECONTAMINATION
23 Un modèle axé sur les utilisateurs
24 Étape par étape
25 Principales menaces par étape
26 Njw0rm
27 CosmicDuke
28 Étapes
28 Inception
29 Intrusion
31 Infection
33 Invasion : Infiltration
34 Invasion : Infestation
Faciles à retenir, les phases de la chaîne commencent toutes
les quatre par « in » :
zz Inception – Phase durant laquelle un système ou un
appareil est exposé à une menace potentielle
zz Intrusion – Phase durant laquelle le pirate parvient à
accéder au système
zz Infection – Phase durant laquelle le pirate réussit à
installer du contenu malveillant sur le système attaqué
zz Invasion – Phase durant laquelle le contenu malveillant
continue de fonctionner après l'infection initiale, ce qui
aggrave généralement les conséquences de l'attaque
Des exemples sont donnés pour chacune de ces phases au fil
des pages suivantes. Il convient cependant de rappeler que
la chaîne de contamination est axée sur les utilisateurs. Par
conséquent, les ressources correspondant à chaque phase
dépendent de la façon dont les internautes sont attaqués.
Prenons l'exemple particulièrement parlant de l'ingénierie
sociale : les pirates peuvent employer cette tactique pendant
l'inception et l'intrusion.
En outre, les victimes doivent bien comprendre que leur
contamination à un certain niveau de sécurité ne les
met pas subitement en échec total. Cette notion s'avère
particulièrement importante pour les administrateurs
informatiques responsables de la sécurité de réseaux entiers.
Toutes les sociétés, même les plus petites, doivent mettre en
place des solutions afin d'éviter les attaques tout au long de la
chaîne, et définir un plan pour empêcher les pirates de gagner
du terrain et d'atteindre leurs objectifs.
Sources répertoriées à la page 39.
La chaîne de contamination est un modèle axé sur les
utilisateurs qui illustre les combinaisons de tactiques et de
ressources utilisées pour infecter leurs périphériques et leurs
réseaux. Ce genre de modèle est aujourd'hui nécessaire, étant
donné l'évolution de la typologie des menaces au cours de
la dernière décennie. Fini le temps des pirates amateurs qui
créaientdesvirusinformatiquesparsimplecuriosité.Lescyber
attaquesmodernes,dynamiquesetperfectionnées,sontlefait
decriminels,desaboteursetdepiratesmilitants,voired'États-
nations, tous animés par des objectifs différents. Pour ne pas
être en reste, les chercheurs en sécurité, les administrateurs
informatiques et le grand public en général doivent mieux
comprendre ce à quoi ils se trouvent confrontés. La chaîne
de contamination met en évidence le perfectionnement des
menaces actuelles, considérées comme des événements
multiphases : chaque étape engendre des effets spécifiques,
souvent combinés par les pirates en vue d'augmenter les
dommages potentiels.
D'autres modèles présentent les cyber attaques comme des
événements multiphases dynamiques. C'est notamment le
cas de la Cyber Kill Chain [1]
de Lockheed Martin et du cycle
de vie des exploitations de Mandiant [2]
, bien connus des
chercheurs en sécurité du monde entier. Si ces deux exemples
décomposent la démarche des APT, le modèle de la chaîne de
contamination, lui, est axé sur les utilisateurs afin de permettre
aux particuliers comme aux entreprises de comprendre les
menacesquiplanentsurleurspropressystèmes.Enexpliquant
les différents niveaux de contamination qui accompagnent
chaque phase, ce modèle vise à donner à ses destinataires,
notamment aux administrateurs informatiques, de nouvelles
clés pour prévoir, empêcher et intercepter les attaques avant
qu'elles ne causent des violations de données ou d'autres
coûteux incidents de sécurité.
La chaîne de contamination comprend quatre grandes phases.
Bien que les attaques et outils des pirates se limitent parfois à
une seule, c'est rarement le cas à l'heure actuelle. En effet, les
menaces modernes associent en général plusieurs phases afin
de démultiplier les dégâts occasionnés. De plus, même si les
pirates peuvent abandonner un certain type d'attaque ou de
campagne, il vaut mieux que les particuliers et les entreprises
préparent leur défense contre les menaces et composants
multiphases afin de ne pas leur prêter le flanc.
CHAÎNE DE CONTAMINATION
Un modèle axé sur les utilisateurs
22
13. 2524
UN CODE MALVEILLANT S'EXÉCUTE
DANS LE SYSTÈME DE LA VICTIME
Les pirates peuvent installer (ou « injecter ») un
contenu qui exécute en général un code ou logiciel
malveillant produisant des effets indésirables. Ce
contenu malveillant comprend des malware du type
ransomware, bot, virus ou cheval de Troie.
LES PIRATES ACCÈDENT AUX SYSTÈMES
EXPOSÉS
Les pirates peuvent tirer parti des vulnérabilités
des systèmes à l'aide d'un code spécial (exploit).
Ils peuvent aussi piéger les internautes de sorte
qu'ils leur donnent accès à leur ordinateur sans le
savoir (ingénierie sociale).
LES INTERNAUTES ET LEURS APPAREILS
SONT EXPOSÉS AU PIRATAGE
Navigation sur Internet, envoi d'e-mails, utilisation
de lecteurs amovibles… autant d'activités normales
au cours desquels les internautes peuvent, sans
le savoir, s'exposer à des menaces. Par ailleurs, les
pirates peuvent tenter, par la ruse ou par la force,
de les placer en position de faiblesse, au moyen
d'attaques techniques (redirecteurs et malware,
par exemple) ou d'opérations d'ingénierie sociale
(campagnes de hameçonnage, entre autres).
LES PIRATES CHERCHENT À PROLONGER
OU DÉMULTIPLIER LEURS DOMMAGES
L'attaque persiste ou s'intensifie de façon à
contaminer davantage sur le système touché ou les
réseaux exposés.
CHAÎNE DE CONTAMINATION
Étape par étape
INCEPTION
INTRUSION
INFECTION
INVASION
UN CODE MALVEILLANT S'EXÉCUTE DANS
LE SYSTÈME DE LA VICTIME
Ces menaces sont souvent injectées dans un système
par le biais d'autres malware ou après contamination
par un kit d'exploitation.
INCEPTION
INTRUSION
INFECTION
INVASION
LES PIRATES ACCÈDENT AUX SYSTÈMES
EXPOSÉS
Ces menaces (toutes de type exploit) offrent un accès
direct au système des victimes en exploitant ses
vulnérabilités ou les programmes qui y sont installés.
Elles peuvent aussi permettre aux pirates d'en prendre
le contrôle.
LES INTERNAUTES ET LEURS APPAREILS
SONT EXPOSÉS AU PIRATAGE
Ces menaces ont essentiellement pour but de placer
les victimes en position de faiblesse. Ainsi, les chevaux
de Troie redirecteurs orientent les internautes vers des
sites malveillants qui les exposent souvent à des kits
d'exploitation. En général, les chevaux de Troie Macro,
Autorun et « raccourcis » (sans oublier le ver Njw0rm)
se dissimulent dans des fichiers en apparence inoffensifs
pour que leurs cibles les enregistrent dans leur système,
ce qui augmente la probabilité de leur exécution.
LES PIRATES CHERCHENT À PROLONGER OU
DÉMULTIPLIER LEURS DOMMAGES
Une fois présentes dans un système, ces menaces sont
capables de se démultiplier sur les autres machines
appartenant au même réseau, renforçant ainsi les
effets de la première infection. Certaines menaces,
comme Gamarue ou Dorkbot, peuvent aussi contacter
un serveur distant pour récupérer des instructions
complémentaires des cyber criminels, susceptibles
d'accroître l'impact de l'infection.
Gamarue
cheval de
Troie
WormLink
exploit
Nuclear
kit
d'exploitation
Downadup
ver
(Conficker)
Ippedo
ver
Trojan.LNK.Gen
Sality
bot
Trojan:
W32/
Autorun
Ramnit
bot
Trojan:
JS/
Redirector
Worm:
W32/
Kataja
Trojan:
W97M/
Malicious
Macro
Exploit:
SWF/
Salama
Njw0rm
ver
Dorkbot
ver
Dridex
cheval de
Troie-télé-
chargeur
CHAÎNE DE CONTAMINATION
Principales menaces
par étape
Kilim
cheval de
Troie
Exploit:
Java/
Majava
24 25
Angler
kit
d’exploitation
14. 2726
NJW0RM
Chaîne de contamination
LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS
Le ver Njw0rm peut s'introduire dans un système
de deux façons : lors de téléchargements à la
dérobée sur des sites web malveillants ou en
misant sur la curiosité des internautes qu'il invite
à ouvrir une pièce jointe malveillante ou un fichier
sur un lecteur amovible infecté.
LES INTERNAUTES ET LEURS APPAREILS SONT
EXPOSÉS AU PIRATAGE
Le ver Njw0rm se propage par le biais des
lecteurs amovibles touchés, de sites web
malveillants et d'e-mails conçus spécialement
à l'attention de particuliers ou d'entreprises
spécifiques (harponnage).
LES PIRATES CHERCHENT À PROLONGER OU
DÉMULTIPLIER LEURS DOMMAGES
Le ver Njw0rm ouvre une backdoor dans le
système, créant ainsi un point d'entrée pour
une potentielle contamination ultérieure. Il
fonctionne également comme un bot qui donne
au pirate le contrôle à distance de l'ordinateur
infecté. De plus, il est capable de voler des
données de connexion en ligne, de se mettre à
jour ou se désinstaller tout seul et de renseigner
l'auteur de l'attaque sur le système touché.
UN CODE MALVEILLANT S'EXÉCUTE DANS
LE SYSTÈME DE LA VICTIME
Une fois exécuté, le vers Njw0rm s'installe
dans plusieurs dossiers système clés. De plus,
il manipule le registre système de sorte qu'il
soit automatiquement exécuté à chaque
redémarrage.
Il s'agit d'un ver VBS qui se propage par le biais de lecteurs amovibles, de pièces jointes à des
e-mails ciblés à l'attention de particuliers ou d'entreprises et de téléchargements à la dérobée sur
des sites web malveillants. Une fois introduit dans un système, il y exécute d'autres fichiers, vole
des identifiants, mots de passe et informations sur les portails en ligne associés, se met à jour ou
se désinstalle tout seul, et contacte un serveur de commande et contrôle (CC) pour obtenir des
instructions complémentaires. De plus, il renseigne l'auteur de l'attaque sur le système touché, en lui
communiquant les adresses IP visitées, des informations sur le système d'exploitation, etc.
COSMICDUKE
UN CODE MALVEILLANT S'EXÉCUTE DANS
LE SYSTÈME DE LA VICTIME
CosmicDuke infecte les systèmes avec un voleur
d'informations doté de fonctions de keylogging,
de capture d'écran et d'exportation de clés
de déchiffrage, capable de voler des données
de connexion des navigateurs et clients de
messagerie électronique ou instantanée.
LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS
CosmicDuke s'insinue dans un système en
exploitant ses vulnérabilités logicielles lorsque
la victime ouvre ou affiche une pièce jointe
malveillante, ou en comptant sur sa curiosité pour
lui faire exécuter le code de la pièce jointe en
question.
LES INTERNAUTES ET LEURS APPAREILS SONT
EXPOSÉS AU PIRATAGE
Les internautes se trouvent initialement
exposés à CosmicDuke via des campagnes
de harponnage utilisant des pièces jointes
malveillantes.
LES PIRATES CHERCHENT À PROLONGER OU
DÉMULTIPLIER LEURS DOMMAGES
CosmicDuke exfiltre des données volées via les
protocoles HTTP, HTTPS, FTP ou WebDav à l'aide
de serveurs CC. Il s'agit notamment de données
de connexion grâce auxquelles les pirates peuvent
accéder aux systèmes touchés à distance, sans
aucun malware supplémentaire ni outil spécial, et
faire ainsi persister leur contamination bien au-delà
du niveau d'infection initial.
Chaîne de contamination
CosmicDuke est le nom de l'un des outils utilisés par les Dukes, un groupe de cyber espionnage qui
serait soutenu par l'État russe (voir « Présentation des Dukes », p. 20). Depuis 2008, les Dukes utilisent
activement au moins neuf outils pour voler des informations dans le cadre de leurs opérations de
renseignement. Les autorités gouvernementales, organes politiques et autres entités détenant des
informations relatives aux politiques de sécurité et d'affaires étrangères de différents pays sont leurs
cibles de prédilection.
CosmicDuke repose sur un voleur d'informations. Les pirates peuvent décider de lui adjoindre
individuellement plusieurs autres composants. CosmicDuke disposera alors de fonctions
supplémentaires (par exemple, plusieurs méthodes de persistance) ainsi que de modules qui visent à
exploiter les vulnérabilités permettant de l'exécuter avec une élévation de privilèges.
INCEPTION
INTRUSION
INFECTION
INVASION
26 27
15. 2928
INCEPTION
L'inception est la première phase de la chaîne de contamination. Elle concerne tous les
internautes, particuliers comme entreprises, exposés à des menaces en général ou à une
seule menace précise. Il arrive souvent que les particuliers et les entreprises s'exposent à
des menaces sans le savoir et les pirates anticipent désormais ce comportement. Toutefois,
ces derniers sont nombreux à jouer un rôle plus actif afin de mettre leurs cibles potentielles
en position de faiblesse au moyen d'attaques techniques (malware, par exemple) et/ou
d'opérations d'ingénierie sociale (campagnes de hameçonnage, entre autres).
Trojan:JS/Redirectorestunensembled'attaqueswebvisantàredirigerlesinternautesversunsiteweb
non désiré à partir du site web qu'ils consultent ou souhaitent visiter. Dans certains cas, il arrive aux
sites légitimes de rediriger leurs visiteurs : les pirates ont détourné cette technique afin de les orienter
vers des pages malveillantes. En général, ils contaminent l'un de ces sites légitimes dans l'intention
d'atteindre ceux qui le consultent.
Trojan:JS/Redirector utilise des sites web non désirés qui
partagent tout ou partie des caractéristiques suivantes :
zz Contenu à caractère pornographique
zz Injection de malware dans l'ordinateur de l'internaute
zz Exfiltration de données stockées sur l'ordinateur de
l'internaute
zz Opération frauduleuse avec détournement du trafic
Internet entrant
Les redirecteurs constituent des moyens aussi courants
qu'efficaces pour lancer une attaque, et les pirates s'en sont
fréquemment servis en 2015 pour orienter le trafic Internet
vers des kits d'exploitation.
Trojan:JS/Redirector.FE a été le plus actif des redirecteurs
observés en 2015. Il renvoyait les internautes vers des
serveurs hébergeant des kits d'exploitation, notamment deux
prépondérants : Angler et Neutrino. La plupart des attaques
de Trojan:JS/Redirector.FE ont été détectées en Allemagne,
suivie par la France, la Suède et les États-Unis.
Trojan:JS/Redirector.FD (alias BizCN [1]
) s'est lui aussi montré
actif en 2015. À l'origine, il renvoyait les internautes vers des
serveurs hébergeant FiestaEK, avant de passer à NuclearEK et
NeutrinoEK. Il a enregistré bien plus de détections aux États-
Unis qu'ailleurs, mais s'est aussi révélé sensiblement présent
au Royaume-Uni, en Finlande et au Canada.
Trojan:SWF/Redirector.EW (alias EITest Flash Redirector [2]
)
s'est aussi passablement illustré en 2015, plus particulièrement
au printemps et à l'automne. Il semble avoir servi à lancer les
campagnes AnglerEK qui ont sévi durant ces périodes. Là
encore, les régions les plus touchées ont été l'Amérique du
Nord (États-Unis) et l'Europe (Suède, Royaume-Uni et Pays-
Bas).
Pour rappel, bon nombre des sites web qui hébergent des
redirecteurs ne sont pas eux-mêmes malveillants. Il s'agit
simplement de sites légitimes que leurs failles intrinsèques
laissent à la merci des pirates, ce qui en fait des victimes et
non des criminels. Par exemple, il ressort qu'un grand nombre
des sites web hébergeant Trojan:SWF/Redirector.EW ont été
conçus avec WordPress. Il est tout à fait possible que les sites
web touchés aient été précisément ciblés pour cette raison,
ou bien parce qu'ils utilisaient un plug-in vulnérable.
Toutefois, un faisceau de preuves semble indiquer que les
pirates ont utilisé d'autres techniques, notamment des
attaquesbrutalespourrécupérerlesmotsdepasseprotégeant
lesdroitsd'accèsdeniveauadministrateurauxsiteswebciblés.
Or, le chargement de scripts malveillants (des redirecteurs,
par exemple) devient un jeu d'enfant pour les pirates lorsqu'ils
disposent de ce genre d'accès.
La prédominance des détections de Trojan:JS/Redirector en
Amérique du Nord et en Europe correspond aux observations
faisant état de la place prédominante des kits d'exploitation
dans ces régions du monde. Les redirecteurs devraient
donc être considérés comme de graves menaces visant les
particuliers et les entreprises qui y sont installés.
Les redirecteurs sèment la panique aux USA et dans l'UE
Sources répertoriées à la page 39.
PAYS LES PLUS TOUCHÉS
POURCENTAGE DES DÉTECTIONS SIGNALÉES PAR PAYS
TROJAN:JS/
REDIRECTOR.FE
Allemagne
France
Suède
États-Unis
Autres
23
17
11
10
39
TROJAN:JS/
REDIRECTOR.FD
États-Unis
Royaume-Uni
Canada
Finlande
Autres
58
10
8
8
17
TROJAN:SWF/
REDIRECTOR.EW
Suède
États-Unis
Royaume-Uni
Pays-Bas
Autres
30
21
14
11
26
VULNÉRABILITÉS TOP 5 DES KITS D'EXPLOITATION
Programme Réf. CVE Angler Neutrino Nuclear Magnitude Rig
Flash Player CVE-2015-0310
Flash Player CVE-2015-0311
Flash Player CVE-2015-0313
Flash Player CVE-2015-0336
Flash Player CVE-2015-0359
Flash Player CVE-2015-3090
Flash Player CVE-2015-3105
Flash Player CVE-2015-3113
Flash Player CVE-2015-5119
Flash Player CVE-2015-5122
Silverlight CVE-2015-1671
Internet Explorer CVE-2015-2419
Flash Player CVE-2015-5560
Flash Player CVE-2015-7645
Flash Player CVE-2015-8446
L'intrusion est la phase de la chaîne de contamination qui marque le début de l'attaque
proprement dite. Les particuliers et les entreprises qui s'exposent à des menaces fournissent
aux pirates l'occasion de s'immiscer dans leurs systèmes. Les techniques d'ingénierie
sociale visent à piéger les internautes de sorte qu'ils permettent aux pirates d'accéder à leur
ordinateur. Pourtant, la ressource la plus plébiscitée en matière d'intrusion est l'exploit. Ce
type de menace permet aux pirates de tirer parti des vulnérabilités logicielles afin d'obtenir
un certain niveau d'accès, voire de contrôle, sur les systèmes exposés.
menaces en Suède, aux États-Unis, au Royaume-Uni et en
Australie. Angler s'est montré capable de prendre en charge les
vulnérabilités Flash plus vite et plus souvent que les autres kits
d'exploitationprépondérants.Lepiratagedelasociétéitalienne
Hacking Team, spécialisée en logiciels de surveillance, illustre
la redoutable efficacité de ce type de menace, surtout Angler,
pour exploiter de nouvelles failles.
Incident Hacking Team
Durant la première semaine de juillet 2015, un volume
considérable de données détenues par Hacking Team a été
rendu public. Il contenait notamment deux vulnérabilités Flash
Zero Day.
La première, CVE-2015-5119, a été utilisée le jour même de
l'incident par trois kits d'exploitation (Angler, Neutrino
et Nuclear). Deux autres l'ont reprise dans les deux jours
suivants, bien qu'Adobe ait fourni un correctif le lendemain de
la publication des données [1]
.
La seconde, CVE-2015-5122, a été adoptée par AnglerEK le
lendemain de sa découverte parmi les données de Hacking
Team [2]
. NeutrinoEK l'a reprise le jour suivant. Deux jours
plus tard, les créateurs de NuclearEK et RigEK ont également
intégré à leurs kits des exploits ciblant cette vulnérabilité. Le
tout avant qu'Adobe ait pu élaborer et déployer un correctif.
Les exploits sont des bouts de code conçu pour tirer parti
des vulnérabilités logicielles des ordinateurs et représentent
une ressource prépondérante des pirates à l'heure actuelle.
Leur réussite dépend de leur découverte d'une vulnérabilité
logicielle dans les systèmes ciblés. Les exploits se trouvent
souvent groupés dans un kit d'exploitation, qui a pour but
de scanner les logiciels installés sur les appareils touchés à
la recherche de vulnérabilités non corrigées afin d'employer
l'exploit le plus pertinent. Il ne reste alors plus au kit qu'à
exploiter cette faille de sécurité de façon à injecter du contenu
malveillant, sous forme de ransomware par exemple.
Dans la lignée des observations de 2014, les kits d'exploitation
ciblant les vulnérabilités Flash ont de nouveau affiché une
présence prépondérante en 2015. S'il existait en 2013 des
kits d'exploitation visant plusieurs vulnérabilités Java, leurs
créateurs se sont maintenant tournés vers Flash.
AnglerEK,leplusactifetleplusefficaceenmatièred'intégration
d'exploits destinés aux vulnérabilités Flash, a été remarqué
dans un certain nombre de campagnes tout au long de l'année
dernière. Ses créateurs l'ont en effet doté d'une prise en
charge des vulnérabilités Flash plus souvent que les auteurs
des autres principaux kits d'exploitation. En 2015, AnglerEK
a été fréquemment détecté dans plusieurs pays différents,
au point de se hisser à la première place du classement des
INTRUSION
AnglerEK domine Flash
VULNÉRABILITÉS LES PLUS UTILISÉES PAR LE TOP 5 DES KITS D'EXPLOITATION EN 2015
Angler a été le kit d'exploitation le plus actif et le plus efficace
en matière d'intégration d'exploits à son arsenal.
16. 3130
Public Vulnérabilité
rendue
publique
Corrigé Correctif
émis par le
fournisseur
Exploit ajouté
au kit
d'exploitation
FRISE DE L'AJOUT DES PRINCIPAUX EXPLOITS AUX KITS D'EXPLOITATION
Public
MAI JUIN JUIL AOU
CVE-2015-1671
MS15-065
Silverlight
CVE-2015-2419
MS15-044
Internet Explorer
Public
Angler Magnitude
Angler
Magnitude
Nuclear
Public
Public
Corrigé
6 127 8 9
Corrigé
10 11 13 14
RigMagnitude
Angler
Neutrino Nuclear
Rig
Magnitude
MOIS
JOURS
*Vulnérabilités Flash Player révélées
lors du piratage de Hacking Team
Angler
Nuclear
Neutrino
Neutrino
Flash étant utilisé sur plusieurs plateformes, ses failles
constituent des cibles de choix pour les développeurs de
kits d'exploitation. D'ailleurs, ils sont bien plus nombreux
et réactifs quand il s'agit de créer des exploits visant les
vulnérabilités Flash que lorsqu'il est question de s'adapter aux
failles d'autres programmes. Ainsi, les créateurs d'Angler et
de Magnitude ont mis deux mois à exploiter la vulnérabilité
Silverlight CVE-2015-1671 révélée en mai. De la même façon,
les cinq principaux kits d'exploitation n'ont pas pris en charge
la vulnérabilité Internet Explorer révélée à la mi-juillet avant le
mois d'août.
AnglerEK a été assez souvent détecté en 2015 pour compter
parmi les formes d'intrusion les plus couramment rencontrées
par les particuliers et les entreprises.
CVE-2015-5119*
CVE-2015-5122*
En avril dernier, l'organisme américain chargé de la sécurité
informatique (US-CERT – United States Computer Emergency
Readiness Team) a publié une alerte concernant l'utilisation
de logiciels non corrigés dans les entreprises. Selon ses
informations, 85 % des attaques ciblées pourraient être évitées
et les entreprises devraient plus rapidement corriger et mettre
à jour leurs logiciels afin de donner moindre prise aux pirates [3]
.
Cependant, cette alerte n'a toujours pas produit l'effet
escompté. D'après certaines recherches, un quart des
versions de WordPress actuellement utilisées en Finlande
contiendraient des vulnérabilités exploitables. De plus, les
donnéeshistoriquesportentàcroirequelasituations'aggrave.
Ainsi, une enquête similaire conduite en 2014 avait conclu que
24 % des versions de WordPress étaient vulnérables, un chiffre
en hausse à 26 % en 2015.
Lesfailleslogiciellessontlaraisond'êtredumarchédesexploits,
qui fait florès en tirant parti de l'utilisation constante de logiciels
obsolètes ou non corrigés. Cette situation génère en effet une
demande pour les exploits adaptés à ces vulnérabilités, ce qui
stimule à son tour l'offre des créateurs. Le fait que WordPress ait
vu son taux d'utilisation doubler en Finlande entre 2014 et 2015
devrait être considéré comme un indicateur du potentiel de
croissance dont jouit le marché des exploits WordPress.
UTILISATION
DE WORDPRESS
EN FINLANDE
WordPress dans la tourmente
en Finlande 25 000
15 000
5 000
0
2014 2015
Vulnérable Mis à jour
Sources répertoriées à la page 39.
Les infections par malware sont la bête noire des particuliers
comme des entreprises, car elles déterminent l'impact de
l'attaque sur les internautes. En effet, dès qu'un pirate peut
accéder à un système, il est libre d'y insérer un ou plusieurs
fichiers malveillants produisant des effets indésirables. Selon
les caractéristiques de l'attaque, les malware entraînent des
violations et autres incidents de sécurité, dont des violations
de données, la perte de contrôle sur les informations ou sur
l'infrastructure critique et la dégradation des performances
système. En 2015, le contenu malveillant employé a pris la
forme de chevaux de Troie bancaires (Dridex), de botnet
(Ramnit ou Sality), de voleurs d'informations (Fareit) ainsi
que de diverses familles de ransomware.
Les ransomware ont eu la faveur des kits d'exploitation les
plus souvent détectés en 2015 et sont devenus des outils
efficaces pour extorquer aussi bien les particuliers que les
entreprises. Ces familles de menaces sont conçues pour
soutirer de l'argent à leurs victimes en verrouillant leurs
périphériques et leurs données jusqu'à ce qu'elles versent
une rançon (« ransom », en anglais). L'approche adoptée
pour bloquer l'accès aux systèmes varie selon les familles.
En revanche, elles ne se divisent qu'en deux groupes : les
ransomware « Gendarmerie » et les crypto-ransomware.
Les premiers bloquent tout accès aux périphériques et aux
données en se faisant passer pour des représentants de
la force publique informant l'internaute qu'il a violé une
quelconque loi et doit payer une amende pour retrouver
l'usage de son système infecté. Les seconds chiffrent le
contenu des périphériques afin d'empêcher la victime de
s'en servir jusqu'à ce qu'elle paie une rançon pour obtenir la
clé de déchiffrage correspondante.
Bien que le nombre de ransomware « Gendarmerie » ait
diminué en 2015, plusieurs familles de crypto-ransomware
ont fait des adeptes, d'où la présence globalement stable de
ce type de menace.
La famille de ransomware « Gendarmerie » Browlock a perdu
du terrain par rapport à 2014, mais elle s'est suffisamment
illustrée début 2015 pour enregistrer davantage de
détections que toutes les autres familles sur l'année entière.
À l'inverse, plusieurs variantes de crypto-ransomware sont
montées en puissance au fil des mois. Ainsi, CryptoWall a
pris assez d'importance en 2015 pour éclipser plusieurs
familles de ransomware « Gendarmerie » régnantes en 2014,
au point de devenir la famille de crypto-ransomware la plus
active pendant la majeure partie de l'année. Deux autres
familles, Crowti et Teslacrypt, se sont montrées plus actives
au dernier trimestre, gagnant au passage une plus grande
place parmi les menaces observées. Dans l'ensemble,
davantage de familles de crypto-ransomware ont été plus
actives en 2015 qu'en 2014.
KITS D'EXPLOITATION
Angler Nuclear Magnitude Fiesta
Alpha Crypt CryptoWall CryptoWall CryptoWall
CryptoWall CTB-Locker
Reveton TeslaCrypt
TeslaCrypt Troldesh
CONTENU DE RANSOMWARE DIFFUSÉ
PAR LES PRINCIPAUX KITS D'EXPLOITATION
DÉTECTIONS DE RANSOMWARE DE 2014 À 2015
Browlock
CTB-Locker
Reveton
Urausy
CryptoWall
Crowti
TeslaCrypt
2014
2015
POURCENTAGE DU TOTAL ANNUEL DES DÉTECTIONS
DE MALWARE SIGNALÉES
0,4
0,1
0,006
0,003
0,001
0,001
0,001
0,01
0,02
0,06
0,0002
CONTENU
MALVEILLANT
L'infection est la phase de la chaîne de contamination au cours de laquelle le contenu
injectéexécuteuncodemalveillant.Unefoisqu'unsystèmeesttouché,lespiratessont
libres d'y installer (ou « injecter ») un contenu qui exécute en général une espèce de
code malveillant produisant des effets indésirables. Ce contenu malveillant comprend
des malware du type ransomware, bot, virus ou cheval de Troie.
INFECTION
L'ascensiondescrypto-ransomware
Flash étant utilisé sur plusieurs plateformes, ses
vulnérabilités constituent des cibles de choix
pour les développeurs de kits d'exploitation
Bien que le nombre de ransomware « Gendarmerie » ait
diminué en 2015, plusieurs familles de crypto-ransomware
ont fait des adeptes, d'où la présence globalement stable
de ce type de menace.
17. 3332
45+20+9+6+3+17+D
33+17+16+13+12+9+D
Si les piratages DNS prennent diverses formes selon leur cible
(par exemple, celui d'une grande société est différent de
celui d'un particulier ou d'une microentreprise), ils affichent
tous le même but : altérer la configuration des systèmes de
noms de domaine (DNS – Domain Name System) chez leurs
victimes afin de surveiller ou détourner le trafic Internet. Ce
type d'attaque est facilité par plusieurs failles de sécurité,
notamment la faiblesse des mots de passe, les vulnérabilités
logicielles et les malware. Les piratages DNS s'avèrent efficaces
pour attaquer en masse les cibles potentielles puisqu'ils
permettent de contaminer tous les périphériques connectés
à un réseau.
Cette menace, fréquente à l'heure actuelle, a enregistré un
pic d'activité significatif au printemps et à l'été 2015, plus
précisément d'avril à août. Les attaques menées durant cette
période ont modifié la configuration DNS par défaut de leurs
cibles en vue de détourner le trafic Internet. Les piratages DNS
observés en 2015 étaient concentrés en Italie et en Pologne,
et dans une moindre mesure en Égypte, en Suède et en Inde.
Leurs auteurs ont le plus souvent redirigé le trafic Internet
vers des adresses IP malveillantes qui injectaient le malware
Kelihos dans les périphériques infectés. Kelihos est un botnet
prépondérant qui sert à envoyer du courrier indésirable et
lancer des attaques DDoS. Il est également capable de voler
des informations, dont des données de connexion. Les
chevaux de Troie Fareit, Pkybot et Zbot ainsi que le malware
Asprox – lié au botnet du même nom – formaient également
une grande partie des autres types de contenu malveillant
diffusé lors des piratages DNS en 2015.
L'altération des paramètres DNS n'était que la fin justifiant
les moyens : comme de nombreuses attaques modernes, les
piratages DNS ne sont pas cantonnés à une seule phase de la
chaîne de contamination. Dans quasiment la moitié (48 %) des
cas détectés, ils ont en effet servi à instaurer des botnets. Par
ailleurs, Pkybot et Fareit agissent à la fois comme des voleurs
d'informations et comme des téléchargeurs, qui injectent du
contenu malveillant supplémentaire après l'infection initiale.
Ainsi, dans une écrasante majorité des cas (77 %), les pirates
ont tenté d'obtenir un accès persistant aux systèmes touchés
afin de pouvoir s'y immiscer davantage pour déclencher
de nouvelles infections ou instaurer une contamination
permanente. Par conséquent, les internautes devraient
considérer les piratages DNS comme de possibles menaces
persistantes pour leurs appareils et leurs réseaux, que les cyber
criminels peuvent utiliser longtemps à diverses fins.
AUTRES
33
ITALIE
17
POLOGNE
16
SUÈDE
12
ÉGYPTE
13
INDE
9
PRINCIPAUX
PAYS
TOUCHÉS (%)
AUTRES
17
KELIHOS
45
FAREIT
20
PKYBOT
9
ZBOT
6
ASPROX
3
PRINCIPALES
MENACES
AVEC
ROUTEURS DNS
PIRATÉS (%)
L'invasion est l'ultime phase de la chaîne de contamination. Au cours de cette
phase, l'infection initiale persiste jusqu'à ce que la victime prenne des mesures pour
contrer l'attaque ou bien s'intensifie afin de contaminer davantage son système ou
son réseau. La méthode d'intensification employée dépend des caractéristiques de
l'attaque, mais deux grands axes se dégagent aujourd'hui : l'infiltration et l'infestation.
Avec l'approche « infiltration », les pirates peuvent s'immiscer davantage dans le
système touché, ce qui leur permet de planifier d'autres attaques ou de prolonger les
effets de la première en provoquant une contamination persistante.
INVASION : INFILTRATION
Piratage DNS en 2015 : des bots,
des téléchargeurs et des voleurs
d'informations
0
5
10
15
20
25
30
DECJUNJAN
INFECTIONS PAR PIRATAGE DNS (2015)
%
MOIS
30
25
20
15
10
5
0
JANV JUIN DÉC
Les piratages DNS ont enregistré un
pic d'activité d'avril à août 2015.
Des chercheurs ont déjà remarqué que les campagnes de
crypto-ransomware disposent d'une infrastructure qui
incite leurs cibles à verser la rançon et leur fournit ensuite
automatiquement les clés de déchiffrage nécessaires [1]
.
De leur côté, les auteurs de campagnes de ransomware
« Gendarmerie » tendent à se contenter de toucher la rançon
sansaiderlesinternautesàsedébarrasserdeleursinfections[2]
.
Étantdonnéquelesauteursd'attaquesparcrypto-ransomware
aident souvent leurs victimes pour s'assurer qu'elles les
paieront, et que le montant demandé est relativement
raisonnable, le FBI recommande aux entreprises touchées de
verser tout simplement la rançon [3]
. En 2015, plusieurs services
de police américains ont suivi ce conseil et payé chacun des
centaines de dollars à des extorqueurs en ligne afin de libérer
leurs systèmes de l'emprise de ransomware [4]
. Ce genre
d'exemple souligne aussi bien l'efficacité des ransomware
en tant qu'outils d'extorsion que l'importance de contrer les
attaques en amont de la phase d'infection.
POURCENTAGEDUTOTALDESDÉTECTIONSDE
MALWARESIGNALÉES(2015)
JANV FÉV OCTSEPAOUJUILJUINMAIAVRMARS NOV DEC
PRINCIPALES DÉTECTIONS DE RANSOMWARE EN 2015
Janv 2015
Browlock : 0,103 %
Crowti
CryptoWall
Urausy
Reveton
TeslaCrypt
CTB-Locker
0,002
0,004
0,006
0,008
0,010
0,012
0,014
0,016
0,018
Sources répertoriées à la page 39.
CryptoWall a été la famille de ransomware la plus
souvent détectée sur la majorité de l'année 2015.
MOIS (2015)
AFFICHAGE DE DEMANDES DE RANÇON
Demandes de rançons affichées par le ransomware « Gendarmerie » Browlock
(à gauche) et le crypto-ransomware CryptoWall (à droite)
18. 3534
En 2015, Downadup s'est maintenu au rang de type de
malware le plus fréquemment détecté. Ce ver, découvert en
2008, est aujourd'hui reconnu comme l'une des infections
informatiques les plus répandues. Downadup s'en prend aux
systèmes Windows non corrigés (dont plusieurs versions de
Windows Server), d'où il se propage aux réseaux vulnérables
connexes.
Depuis ses débuts en 2008, Downadup a infecté des millions
d'ordinateurs et causé des perturbations considérables
pendant que les entreprises ciblées s'efforçaient de le
combattre [1]
. À un moment, Microsoft offrait une récompense
de 250 000 dollars (soit plus de 220 000 euros) pour toute
information conduisant à la condamnation de ses créateurs [2]
.
Combinant différentes tactiques, Downadup se révélait plus
perfectionné que tous les autres vers informatiques connus
des chercheurs à l'époque, d'où son inclusion parmi les
familles de malware les plus invasives jamais recensées.
Downadup reste une famille de malware prépondérante à
ce jour. C'est d'ailleurs la plus fréquemment détectée en
Allemagne, en Finlande, en France, en Inde, en Italie et en
Norvège. Bien qu'il existe de nombreux antivirus capables de
repérer et d'éradiquer ce ver chez les particuliers, il demeure
compliqué de le supprimer de réseaux plus étendus tels
que ceux des opérateurs de télécommunications ou des
multinationales.
L'invasion est l'ultime phase de la chaîne de contamination. Au cours de cette
phase, l'infection initiale persiste jusqu'à ce que la victime prenne des mesures pour
contrer l'attaque ou bien s'intensifie afin de contaminer davantage son système ou
son réseau. La méthode d'intensification employée dépend des caractéristiques de
l'attaque, mais deux grands axes se dégagent aujourd'hui : l'infiltration et l'infestation.
L'infestation est ce qui se passe lorsqu'une attaque parvient à se propager au-delà d'un
périphérique ou système touché, s'étendant à tout un réseau.
INVASION : INFESTATION
Downadup pourrait-il se refaire une santé grâce à l'Internet des objets ?
Sans compter que, bien qu'il ne soit plus tout jeune,
Downadup a trouvé de nouveaux supports de propagation.
Ainsi, il a été repéré en novembre 2015 dans plusieurs
caméras portatives fabriquées spécialement pour des forces
de police américaines [3]
. De nombreux appareils relevant
de l'Internet des objets (IdO), dont les caméras portatives,
sont incompatibles avec les antivirus traditionnels. Si ces
périphériques non sécurisés prolifèrent, il est donc tout à fait
possible que des menaces du genre de Downadup connaissent
un regain d'activité.
?
Les malware continuent à se démocratiser et les plateformes de malware-as-
a-service, de mieux en mieux organisées, ne cessent de se perfectionner. Il
est facile d'acheter en ligne des campagnes clé en main personnalisées. Une
fois qu'elles sont lancées, des botnets distribuent du courrier indésirable qui
déclenche des infections. Le contenu malveillant injecté communique alors
les informations recueillies à une infrastructure dorsale gérée qui fait partie
intégrante du service fourni. Nous avons même observé la réalisation de
tests bêta avant le lancement effectif d'une campagne. Bien qu'elles aient
essentiellement pour objet de générer des gains financiers, ces campagnes
de malware-as-a-service servent parfois à d'autres fins malveillantes telles
que voler des données ou vouer des internautes à la honte publique. En
comparaison des coûts qu'elle occasionne pour chacun des particuliers et
entreprises concernés, une campagne de malware s'avère incroyablement
économique.
Nous constatons toujours une montée en flèche des ransomware, une
tendancequidevraitsepoursuivretoutaulongdel'année2016.Nonseulement
les campagnes de ransomware gagnent en structure et en perfectionnement,
mais les malware eux-mêmes se font plus retors. Les crypto-ransomware
comptent parmi les logiciels les plus destructeurs repérés des derniers temps.
Leur méthode consiste à chiffrer en bloc les fichiers stockés sur une machine,
en donnant pour seul recours à la victime de payer ses assaillants pour
obtenir une clé de déchiffrage. Récemment, ce type de malware est devenu
le cauchemar des entreprises en parvenant à chiffrer des fichiers partagés
sur des réseaux non assignés. Le montant de la rançon exigée peut dépasser
400 dollars (soit plus de 350 euros) par système infecté.
Nous nous attendons à ce que les APT renforcent encore leur présence en
2016. Les groupes organisés (par exemple, des États-nations, pirates militants,
prestataires de services de sabotage et d'espionnage industriel et autres
cyber criminels) s'intéressent aux sociétés et aux organes gouvernementaux
dans le but de générer des gains financiers, voler leurs données, perturber
leurs activités et ternir leur réputation. À l'inverse des criminalware, qui s'en
prennent sans distinction à tous les systèmes à leur portée, les APT sont très
ciblées et difficiles à détecter avec les moyens traditionnels. Pour contrer
de telles menaces, il faut une stratégie de cyber sécurité nettement plus
développée.
LesransomwareetlesAPTseretrouventàlaunedel'actualitéquasimenttoutes
les semaines, dans des articles qui s'étendent désormais à d'autres supports
quelesseulssitesspécialisés.Àl'heureoùlesconsciencess'éveillentàlaréalité
de la cyber criminalité et de la cyber guerre, les autorités gouvernementales se
hâtentderédigerdenouvellesréglementationsquifournirontassurémentdes
lignes directrices aux entreprises. L'année à venir s'annonce par ailleurs riche
en débats publics autour du chiffrement et de l'accès aux données à caractère
personnel, deux sujets concernant tous les propriétaires d'ordinateurs et
de smartphones. Pour couronner le tout, l'Internet des objets continuera à
s'étendre et pourrait bien peser dans les débats ouverts en matière de cyber
sécurité.
ANDY PATEL
Technology Outreach
@r0zetta
CONCLUSION
« À L'HEURE OÙ
LES CONSCIENCES
S'ÉVEILLENT À LA
RÉALITÉ DE LA
CYBER CRIMINALITÉ
ET DE LA CYBER
GUERRE, LES
AUTORITÉS
GOUVERNE
MENTALES SE
HÂTENT […] »