SlideShare une entreprise Scribd logo
RAPPORT
SUR LES
MENACES
2015
0302
RÉSUMÉ
INCEPTION
INTRUSION
INFECTION
INVASION
EFFRACTION DANS
LE JARDIN CLOS
Fin 2015, l'App Store d'Apple
a été victime d'une série d'incidents dus
à l'utilisation d'outils infectés par des
développeurs, créateurs malgré eux
d'applications malveillantes. Passant outre
le contrôle d'Apple, elles se sont immiscées
dans sa plateforme et, de là, dans les
périphériques iOS d'internautes.
PRÉSENTATION
DES DUKES
Les membres des Dukes
forment un groupe de cyber espionnage
hautement spécialisé, extrêmement bien
organisé et doté de nombreuses ressources.
Ils travailleraient pour la Fédération de
Russie depuis au moins 2008 dans le but de
recueillir des renseignements permettant
d'influer sur les décisions prises en matière
de politiques de sécurité et d'affaires
étrangères.
CHAÎNE DE
CONTAMINATION
Étapes
2015 EN BREF
Voici quelques-uns des événements majeurs de l'année en matière de cyber sécurité.
15/02 : Démantèlement
du botnet Ramnit par
Europol
15/07 : Fermeture du
forum de piratage
Darkode par le FBI
POURSUITES
15/07 : Piratage de Hacking
Team, divulgation de
données en ligne
15/09 : Début du
nettoyage de l'App
Store pour éradiquer
XcodeGhost
ATTAQUES
15/07 : Rappels Ford,
Range Rover, Prius et
Chrysler pour cause de
bug
15/07 : Signalement de la
faille Android Stagefright
VULNÉRABILITÉS
15/08 : Google corrige la
faille de sécurité Android
Stagefright
15/08 : Amazon et
Chrome abandonnent
les pubs Flash
SÉCURITÉDES
PRODUITS
08
2018
28
Njw0rm
Gamarue
Angler
Dorkbot
Kilim
Nuclear
Ippedo
Dridex
WormLink
PRINCIPALES
FAMILLES DE
MALWARE
Njw0rm a été la nouvelle famille de
malware prédominante en 2015.
12
MENACES PAR ZONE
GÉOGRAPHIQUE
L'Europe a été particulièrement
touchée par le kit d'exploitation Angler.
De plus, elle a fréquemment été la
cible de Trojan:JS/Redirector ainsi
que d'attaques par fichiers contenant
des macros qui téléchargent des
ransomware. 15
CHAÎNE DE
CONTAMINATION
La chaîne de contamination
est un modèle axé sur les utilisateurs qui
illustre les combinaisons de tactiques et
de ressources utilisées pour infecter leurs
périphériques et leurs réseaux. Il comporte
quatre grandes étapes : inception,
intrusion, infection et invasion.
23
Les redirecteurs sèment la panique
aux USA et dans l'UE (p. 28)
AnglerEK domine Flash
(p. 29)
L'ascension des
crypto-ransomware (p. 31)
Downadup pourrait-il se refaire
une santé grâce à l'Internet des
objets ? (p. 34)
Piratage DNS en 2015 : des
botnets, des téléchargeurs et des
voleurs d'informations (p. 33)
Cerapportdécritendétaill'éventaildescybermenacesauxquellesparticuliers
et entreprises sont confrontés. En nous fondant sur des sources de 2015, nous
exposons ici nos remarques concernant les cas connus de malware détectés
par les systèmes de renseignement anti-menace. Nous identifions par ailleurs
plusieurs évolutions et tendances clés dans ce domaine.
Ce rapport introduit la « chaîne de contamination », un concept analytique
permettant d'aider les lecteurs, en particulier ceux qui travaillent dans le
domaine de la cyber sécurité et des technologies de l'information, à cerner
les combinaisons de tactiques et de ressources des pirates. Ce modèle a été
appliquéàcertainesdesmenaceslespluscourantesen2015(kitsd'exploitation,
ransomware et piratages DNS, entre autres) afin d'illustrer comment les cyber
criminels compromettent la sécurité des internautes.
Ce rapport contient également des éléments clés concernant le penchant
actuel des pirates pour les vers, les exploits et les macro-malware, mais aussi
le recours croissant aux crypto-ransomware par les racketteurs en ligne ainsi
que l'utilisation et l'efficacité grandissantes des kits d'exploitation visant les
vulnérabilités Flash. De plus, il souligne l'importance des divers incidents de
cybersécuritésurvenusen2015,notammentladécouvertedubugXcodeGhost
dans l'App Store d'Apple et le démasquage des Dukes, un groupe de menaces
avancées persistantes. Sans oublier certains signes laissant penser que la
rencontre entre géopolitique et cyber sécurité ouvre la voie à une course au
cyber armement.
Les informations fournies sur les menaces observées à l'échelle mondiale sont
étayées par des statistiques détaillées par pays et zones géographiques pour
les plus courantes d'entre elles. Il en ressort clairement que, si le monde entier
est connecté via Internet, les pirates sont à même de développer et distribuer
des ressources leur permettant de cibler plus efficacement leurs victimes
parmi les particuliers et les entreprises.
SYNTHÈSE
Auteurs
Edilberto Cajucom Laboratoire • Patricia Dacuno Threat Intelligence, Laboratoire • Karmina Aquino • Threat Intelligence,
Laboratoire • Broderick Aquilino Malware Protection, Laboratoire • Alia Hilyati Antimalware Unit • Sarah Jamaludin Antimalware
Unit • Adam Pilkey Global Communications & Brand • Melissa Michael Global Communications & Brand
Contributeurs
Mikko Hypponen	Laboratoire • Sean Sullivan Security Advisor • Andy Patel Technology Outreach • Zimry Ong Malware Protection,
Laboratoire • Artturi Lehtiö Threat Intelligence, Laboratoire • Janne Kauhanen Cyber Security Services • Dariusz Jastrzebski Cyber
Security Services
0504
Avant, les conflits survenaient pour une question de frontières. Il y a bien
longtemps, nous érigions des remparts autour de nos villes pour nous
défendre. Ils nous protégeaient de nos ennemis. Au fil du temps, ces remparts
sont devenus plus hauts, plus longs, plus larges. Or, plus ils s'allongeaient et
s'élargissaient, plus ils se faisaient invisibles autour des zones de richesse,
de prospérité, de puissance et de croyance qu'ils délimitaient. Finalement,
ces remparts sont devenus des frontières qui sont restées l'objet de tous les
conflits pendant des siècles. L'époque était alors aux désirs de conquêtes
territoriales et de conversion religieuse des populations.
Les guerres et autres conflits ont toujours été alimentés par les technologies,
comme celles de la poudre, des lames en acier et des avions de chasse. Ce
sont immanquablement ces incroyables possibilités technologiques qui se
distinguent le plus durant ces périodes sombres. La guerre a toujours été un
moteur de développement technologique, et inversement.
C'estainsiquelaguerrefroideaproduituneffetcollatéral :Internet.Cherchant
à maintenir une chaîne de commandement en cas de guerre nucléaire,
l'armée américaine a conçu Internet dans ce but, comme une infrastructure
militaire. En développant Internet, l'humanité a ouvert la voie à une toute
nouvelle façon de se faire la guerre. Qui plus est, Internet n'est pas une zone
géographique et ne connaît pas de frontières. Cette création a ouvert la boîte
de Pandore dans un environnement dépourvu de délimitations tangibles, sans
ennemis identifiables.
Par ailleurs, les anciens conflits étaient de nature symétrique, armée contre
armée. Aujourd'hui, la technologie guerrière a évolué. Nous ne savons plus qui
sont nos ennemis ou ne sommes plus en mesure de les décrire ni d'identifier
leurs objectifs et leurs motivations. Nous nous lançons dans une bataille,
armés de technologies que nous ne maîtrisons pas complètement, contre
des ennemis tapis dans l'ombre… et l'issue reste insondable. Contre qui nous
battons-nous  ? Des pirates  ? Le collectif Anonymous  ? La mafia russe  ? La
Corée du Nord ?
Les conflits sur Internet sont complexes. La seule chose dont nous pouvons
être sûrs, c'est que nous assistons au début d'une nouvelle course à
l'armement : une course au cyber armement.
MIKKO HYPPÖNEN
Chief Research Officer
@mikko
AVANT-PROPOS
« NOUS NOUS
LANÇONS DANS
UNE BATAILLE,
ARMÉS DE
TECHNOLOGIES
QUE NOUS NE
MAÎTRISONS PAS
COMPLÈTEMENT,
CONTRE DES
ENNEMIS TAPIS
DANS L'OMBRE »
TABLE DES MATIÈRES
02RÉTROSPECTIVE
01GÉNÉRALITÉS
02	Résumé
03	Synthèse
04	Avant-propos
05	 Table des matières
06	 À noter
35	Conclusion
36	Sources
40	Annexe
40	 Rapports nationaux
47	 Descriptions des menaces
08	 2015 en bref
10	 Résumé des menaces
10	 Malware par type
11	 Pays qui en signalent le plus
12	 Principales menaces
12	 Principales familles de malware
12	 Tendances des principales familles
13	Principaux génériques et familles
héritées
13	Tendances des principaux
génériques et familles héritées
14	 Malware Mac
14	 Malware Android
15	 Menaces par zone géographique
03ÉTUDES DE CAS
18	 Effraction dans le jardin clos
20	 Présentation des Dukes
04CHAÎNE DE CONTAMINATION
23	 Un modèle axé sur les utilisateurs
24	 Étape par étape
25	 Principales menaces par étape
26	Njw0rm
27	CosmicDuke
28	Étapes
28	Inception
29	Intrusion
31	Infection
33	 Invasion : Infiltration
34	 Invasion : Infestation
06
Flash : Le dernier des maillons faibles
Les exploits malveillants sont monnaie courante depuis plus de 10  ans. Tant et si bien qu'en
2006 les analystes de l'Institut InfoSec ont commencé à appeler plaisamment «  Exploit
Wednesday  » le lendemain du «  Patch Tuesday  » de Microsoft. Tout reposait sur la réactivité.
Le mardi, Microsoft livrait ses mises à jour, que les pirates disséquaient rapidement dans la foulée
pour en identifier les vulnérabilités sous-jacentes. Armés de ces informations, ils créaient alors un
exploit à intégrer à leurs malware visant les internautes qui n'avaient pas encore mis leur système à
jour.
Fin 2006, les malware se sont encore plus démocratisés avec l'arrivée des kits malveillants. Les
premiers de ces kits, comme MPack, furent victimes de leur succès : pas assez évolutifs, ils furent
en effet incapables de satisfaire une demande en constante augmentation. Toutefois, les services
malveillants ont bien vite pris la relève et les marchés noirs du web proposent maintenant de
nombreux kits d'exploitation.
Aujourd'hui, fini l'« Exploit Wednesday ». Le logiciel Microsoft [1]
est nettement plus sûr qu'il y a
10 ans et s'accompagne d'un déploiement accéléré des correctifs. C'est désormais Adobe que les
kits d'exploitation prennent pour cible. Le programme Reader en a particulièrement fait les frais un
certain temps (Flash aussi), avant de devenir quasi superflu avec l'avènement de la prise en charge
des PDF en natif dans plusieurs navigateurs. Adobe a alors adopté des cycles de mise à jour stricts qui
ont mis Reader à l'abri un moment. Le plug-in pour navigateur Java, maillon faible de la chaîne, est
ensuite devenu la cible privilégiée des attaques. Les développeurs l'ont alors plus ou moins restreint
à de très rares utilisations.
Donc, à présent… le lecteur Flash d'Adobe est le dernier plug-in offrant la meilleure prise aux kits
d'exploitation. Mais pour combien de temps ?
Le 29 avril 2010, Steve Jobs a publié une lettre ouverte intitulée Thoughts on Flash (Pensées sur Flash)
expliquant pourquoi Apple ne voulait pas de Flash sur ses périphériques iOS. Selon de nombreux
analystes technologiques, cet événement a signé le début de la fin pour Flash Player, au moins sur
les appareils mobiles. C'est désormais avéré. Le 28 juin 2012, Adobe a annoncé que la certification
Flash Player ne serait pas disponible sur l'Android 4.1 et qu'il limiterait ses installations via Google Play
à partir du15 août 2012 [2]
.
Depuis,lelecteurFlashtientbonsurlemarchédesordinateursdebureau,maisilestcritiquédetoute
part. Ainsi, en août 2015, Amazon a annoncé qu'il n'accepterait plus les publicités en Flash à compter
du 1er
 septembre 2015. Google a suivi le mouvement en février 2016. Dans cette optique, AdWords et
DoubleClick,sesréseauxpublicitaires,n'afficherontplusdepublicitésenFlashàpartirdu30 juin2016.
Elles y seront complètement désactivées à partir du 2 janvier 2017.
Àcestade,j'avanceraisuneprévisionpourdébut2017 :dèsqu'ilpourrasepasserdeprendreencharge
les publicités en Flash, le navigateur Google Chrome commencera à forcer les internautes à autoriser
tous les sites nécessitant la technologie Flash et sera suivi de près par Mozilla Firefox et Microsoft
Edge. Ainsi, d'ici le printemps 2017... Flash ne sera plus d'aucune utilité aux kits d'exploitation.
Les kits d'exploitation ont un avenir chaotique devant eux, sans nouvelle cible prometteuse à
l'horizon. Les services malveillants, toujours plus répandus, intensifieront leurs envois de pièces
jointes, comme le macro-malware qui fait fureur actuellement.
Si seulement nous perdions le réflexe de cliquer sur « OK » pour nous débarrasser des boîtes de
dialogue…
SEAN SULLIVAN
Security Advisor
@5ean5ullivan
À NOTER
1
À l'exception de Silverlight, actuellement cible de kits d'exploitation. Heureusement, Silverlight devrait bientôt disparaître puisque Netflix s'en détourne.
2
Ironie du sort, bon nombre de malware s'insinuent dans les appareils Android par le biais de publicités trompeuses pour une mise à jour Flash obligatoire. Même
en l'absence de lecteur Flash, l'habitude mène parfois à l'ingénierie sociale. Les chercheurs de Google ont commencé à configurer le navigateur Chrome de façon à
signaler les sites affichant ce type de publicité.
07
02
RÉTROSPECTIVE
08	 2015 en bref
10	 Résumé des menaces
11	 Pays qui en signalent le plus
11	 Malware par type
12	 Principales menaces
12	 Principales familles de malware
12	 Tendances des principales familles
13	 Principaux génériques et familles héritées
13	 Tendances des principaux génériques et familles héritées
14	 Malware Mac
14	 Malware Android
15	 Menaces par zone géographique
07
2015 EN BREF
MALWARE
Août
Google lance les mises
à jour de sécurité Nexus
mensuelles
SÉCURITÉ DES PRODUITS
VULNÉRABILITÉS
Août
Google corrige la
faille de sécurité
Android Stagefright
SÉCURITÉ
NUMÉRIQUE
Octobre
UE/USA :
Invalidation de
l'accord Safe Harbor
Août
USA : Sanctions prévues
contre la Chine pour
cyber vol
Septembre
Chine/USA : Entretien
cyber sécurité avant la
visite officielle
Juillet
Chine : Mise à jour
des lois relatives au
contrôle d'Internet
Juillet
Fermeture du
forum de piratage
Darkode par le FBI
Février
Démantèlement
du botnet Ramnit
par Europol
ATTAQUES
Juillet
Signalement de
la faille Android
Stagefright
Octobre
Signalement de
la faille Android
Stagefright 2.0
Août
Signalement de la
faille Certifi-gate
sur Android
Mars
Détection de
la faille FREAK
sur Android et
Windows
Septembre
Signalement d'un exploit
déjouant Gatekeeper sur
Mac OS X
Juillet
Développement
des outils de
cyber criminalité
des Dukes
Mars
Montée des
ransomware
Juillet
Piratage de Hacking
Team, divulgation de
données en ligne
INTERNATIONALPARTICULIERS
Novembre
USA : Fin des écoutes
téléphoniques massives
de la NSA
Octobre
USA - CISA : Adoption
par le Sénat malgré des
inquiétudes
Décembre
Chine : Inquiétudes
au sujet de la loi
antiterrorisme
Octobre
USA - DMCA :
Davantage de produits
de « piratage légal »
POURSUITES
Octobre
USA : 4,5 ans de prison
pour le créateur du
botnet Citadel
Octobre
R-U/USA :
Inculpation du
créateur du
botnet Dridex
Octobre
UE : Raids policiers
liés au malware
DroidJack
Août
Amazon et Chrome
abandonnent les
pubs Flash
Octobre
Chine : Arrestation
de pirates sur
requête des USA
Octobre
Perturbation de
l'activité du kit
d'exploitation
Angler
Septembre
Malware Turla
« en contact CC
par satellite »
Octobre
Correction de plusieurs
failles par les mises à
jour Apple
Décembre
Signalement
d'attaques DDoS sur
des serveurs turcs
Octobre
Retrait de bloqueurs
de pub dépassant les
limites de l'App Store
Septembre
Identification de
nouveaux outils
des Dukes
Août
Démonstration
de piratage
d'une Corvette
par des
chercheurs
Juillet
Rappels Ford,
Range Rover, Prius
et Chrysler pour
cause de bug
Août
Sortie du
correctif
antipiratage
OTA pour la
Tesla Model S
Septembre
Envoi postal
Chrysler de
clés USB avec
correctif
logiciel
L'année 2015 s'est révélée mouvementée en matière de sécurité et de confidentialité en ligne. Voici
quelques-uns des événements majeurs survenus qui influeront sur les interactions des internautes
et leur rapport à la technologie. Nos sources sont répertoriées à la page 36.[ ]
Septembre
Début du
nettoyage de
l'App Store
pour éradiquer
XcodeGhost
Septembre
Attaque DDoS
« lancée depuis des
pubs sur mobile »
VIEENLIGNE
0908
1110
RÉSUMÉ DES MENACES
Si la typologie des menaces observées en 2015 reprenait
plusieurs tendances relevées en 2014, elle affichait également
des divergences significatives. La surprise est notamment
venue du retour des macro-malware qui avaient disparu
depuis le début des années 2000. Par ailleurs, la proportion
des vers dans le nombre total de détections de malware a
augmenté, ce qui est en grande partie dû à l'émergence de
diverses familles dans certaines régions du monde.
Toutefois, les exploits et kits d'exploitation restent parmi
les menaces les plus répandues auxquelles particuliers et
entreprises sont confrontés en Europe comme en Amérique
du Nord. Non seulement ils sont fréquemment détectés, mais
certains indicateurs ont démontré en 2015 que leurs capacités
ne cessent de s'étoffer et de s'étendre à de nouveaux vecteurs
d'attaque. Le nombre de ransomware «  Gendarmerie  » a
diminué en 2015, contrebalancé par l'activité croissante
de plusieurs familles de crypto-ransomware (voir page  31)
opérant par le biais de kits d'exploitation et de macro-
malware.
Par ailleurs, les autorités gouvernementales et les grandes
entreprises s'intéressent de près aux menaces avancées
persistantes (APT  – Advanced Persistent Threats), bien
qu'elles n'affectent pas la plupart des internautes. En 2015,
le Laboratoire F-Secure a publié un livre blanc présentant
en détail les outils utilisés par les Dukes. Nous pensons
que ce groupe de cyber espionnage hautement spécialisé,
extrêmementbienorganiséetdotédenombreusesressources
travaille pour la Fédération de Russie depuis au moins 2008
dans le but de recueillir des renseignements permettant
d'influer sur les décisions prises en matière de politiques de
sécurité et d'affaires étrangères.
Vers
Éternel leader du classement des détections de menaces, le
vieillissant Downadup (alias Conficker) a conforté à lui seul les
vers dans une position prédominante. En parallèle, leur visibilité
s'est trouvée globalement accrue grâce à l'émergence de
plusieurs familles parvenues à se propager dans les réseaux de
certaines régions du monde.
La plus remarquable de ces nouvelles familles est Njw0rm,
un ver VBS qui s'infiltre via des lecteurs amovibles, des pièces
jointes malveillantes à des e-mails et des téléchargements à la
dérobée. Essentiellement conçu pour voler des informations, il
a la capacité d'ouvrir des backdoors. Njw0rm a vu ses détections
nettement augmenter au second semestre 2015 par rapport au
premier, mais son action a été largement suffisante pour en faire
la nouvelle famille de malware la plus importante de l'année.
Le ver Dorkbot a, lui aussi, fait des dégâts. Il affiche de
nombreuses caractéristiques en commun avec Njw0rm. Tous
deux s'insinuent par le biais de lecteurs amovibles. Tous deux
ouvrent des backdoors, volent des informations et peuvent
communiquer avec des serveurs distants afin de recevoir des
instructions complémentaires de la part des cyber criminels.
Toutefois, Dorkbot est aussi capable de se propager en
intégrant des liens malveillants à des messages instantanés ou
sur les réseaux sociaux.
Troisième nouvelle famille remarquée, Ippedo a fait l'objet d'un
assez grand nombre de signalements pour entrer dans la liste
des principales menaces de 2015. Il s'agit là encore d'un voleur
d'informations distribué via des lecteurs amovibles. Cependant,
il ne semble pas capable de se propager par d'autres moyens,
ce qui réduit considérablement son importance par rapport aux
autres familles.
Considérés comme un type de menace au sens large, les vers
ont significativement gagné en ampleur l'an dernier. En 2015,
les familles de vers représentaient en effet 18 % du total des
détections de malware, contre 12 % en 2013 et 10 % en 2014.
Toutefois, à l'exception du tristement célèbre ver Downadup
(prédominant partout dans le monde), la plupart de ces
familles ont seulement été repérées en Asie, au Moyen-Orient
et, dans une moindre mesure, en Amérique du Sud. Malgré
cette poussée, le cheval de Troie (par exemple, Gamarue ou
Kilim) est resté le type de malware le plus souvent rencontré
en 2015.
Exploits et kits d'exploitation
Très présents en 2015, les exploits se sont montrés actifs dans
plusieurspays.Lekitd'exploitationAnglers'estparticulièrement
illustré dans diverses régions du monde, régnant au Royaume-
Uni, en Suède et en Australie.
S'il disposait de l'arsenal le plus complet d'exploits déployé
l'an dernier, sa réussite (et celle des kits d'exploitation en
général) semble en partie due à son utilisation de plus en plus
efficace de différents vecteurs d'attaque. La prédominance des
signalements de la détection générique Trojan:JS/Redirector
en apporte la preuve. Les pirates introduisent ce type de cheval
de Troie sur des sites web légitimes afin de rediriger leurs
visiteurs vers d'autres sites hébergeant des kits d'exploitation,
notamment Angler et Nuclear. Cette attaque a été si répandue
l'an dernier qu'elle s'est vu décerner le titre peu glorieux de
menace principale en Suisse et au Danemark.
De leur côté, les vulnérabilités Flash ont grandement contribué
à la réussite des exploits, et ce même indépendamment des kits
d'exploitation. En effet, les exploits identifiés par la détection
générique Exploit:SWF/Salama ont compté parmi les menaces
les plus présentes, notamment en Europe et aux États-Unis. Bien
qu'elles ne jouissent pas de la même ampleur qu'Angler, ces
deux types d'attaques ont ciblé le nombre apparemment infini
d'internautes qui exécutent des versions vulnérables de Flash.
Dans l'ensemble, la menace représentée par les exploits n'a
pas énormément évolué par rapport aux années précédentes.
MALWARE PAR TYPE
2015
2014
2013
VER
CHEVAL
DETROIE
EXPLOIT
VIRUS
BACKDOOR
AUTRES
67 18 8 6 1 1
VER
CHEVAL
DETROIE
EXPLOIT
VIRUS
BACKDOOR
AUTRES
73 10 8 6 1 1
VER
CHEVAL
DETROIE
EXPLOIT
VIRUS
AUTRES
BACKDOOR
63 12 11 9 4 1
POURCENTAGES DES DÉTECTIONS DE
MALWARE SIGNALÉES
Ils s'en prennent toujours aux particuliers et entreprises qui
utilisent des logiciels dépassés ou non corrigés (par exemple, les
exploitsWormLinkleurdemandentd'ouvrirunfichiercontenant
un code qui exploite une vulnérabilité). Comme en 2014, ils ont
constitué 8 % du total des détections de malware. Toutefois,
leur contenu malveillant (entre autres, des ransomware) s'est
diversifié et aggravé  : il est donc plus que jamais nécessaire
de mettre à jour ses logiciels dès la publication de nouveaux
correctifs de sécurité.
Macro-malware
L'année 2015 nous a offert une évolution intéressante avec
le retour des macro-malware. Ces documents contenant du
code malveillant dissimulé ont marqué la fin des années 1990 et
le début des années 2000. Mais lors du lancement de la suite
Office 2003, Microsoft a modifié les paramètres de sécurité par
défaut pour empêcher l'activation automatique des macros à
l'ouverture d'un document, compliquant considérablement la
tâche des pirates.
Pourtant, à partir de juin 2015, les macro-malware ont retrouvé
une place de choix dans les rapports de télémétrie. Loin de
figurer parmi les menaces prédominantes, ils ont néanmoins fait
leur petit effet dans plusieurs pays d'Europe. Ils se propagent
principalement grâce aux pièces jointes des e-mails et utilisent
des techniques d'ingénierie sociale pour pousser les internautes
à ouvrir les documents et à activer les macros, ce qui entraîne
l'exécution du code malveillant.
Les macro-malware et les exploits se ressemblent de par leur
intention commune, à savoir attaquer en vue d'injecter du
contenu malveillant. En 2015, il s'agissait notamment de graves
menaces telles que le cheval de Troie bancaire Dridex et de
crypto-ransomware tels que CryptoWall.
Malware Android
En 2015, l'écosystème Android a vu Slocker s'élever au rang des
menaces prépondérantes. Même si les principaux chevaux de
Troie envoyeurs de SMS sont restés très présents, notamment
en France, la popularité croissante de Slocker marque un
tournant dans le domaine des malware mobiles, qui ciblent
maintenant davantage le contenu stocké sur les périphériques.
L'action des backdoors (dont CoudW) indique également une
évolutionaccruedestypesdecontaminationvisantlessystèmes
d'exploitation par rapport aux années précédentes.
Mac et iOS
Les backdoors représentaient le type de malware le plus souvent
détecté sur les systèmes d'exploitation Apple en 2014, ce qui
offrait un contraste intéressant à la domination sans partage des
chevaux de Troie sur Windows et Android.
En 2015, l'écosystème Apple a subi sa plus terrible attaque à
ce jour. En effet, durant l'« incident XcodeGhost », des pirates
sont parvenus à s'introduire dans le très sécurisé App Store
en infectant des copies de Xcode, l'outil de développement
d'applications d'Apple, disponibles sur des forums de
téléchargement public chinois. Ce faisant, ils ont réussi à insérer
du code malveillant dans des applications qui étaient ensuite
proposées sur l'App Store.
Ces pirates ont tiré parti de la situation toute particulière de
la Chine, où les développeurs qui ont du mal à accéder aux
serveurs de téléchargements d'Apple situés à l'extérieur du pays
se tournent vers des sources locales pour obtenir une copie de
l'outil souhaité. C'est ce qui a permis que leurs applications, ainsi
infectées, arrivent sur l'App Store.
PAYS QUI EN SIGNALENT LE PLUS
L'illustration ci-dessus représente le volume des
signalements de détections que nous avons reçus pour
chaque pays par rapport à sa population d'internautes
(ceux qui utilisent nos produits de sécurité).
Par exemple, malgré son grand nombre d'internautes,
peu de signalements nous sont parvenus de la Finlande
comparativement à Oman, qui conjugue vaste
population d'internautes et taux de détection élevés.
Démasquage des Dukes
Les APT sont des programmes perfectionnés, en général conçus
spécifiquement dans le but de s'insinuer et rôder en toute
discrétion dans les réseaux et les systèmes d'exploitation. Ces
menaces silencieuses visent les entreprises qui traitent des
affaires ou des informations de production confidentielles. En
2015, le Laboratoire F-Secure a publié un livre blanc exposant
le groupe de cyber espionnage à l'origine de cette menace :
les Dukes, créateurs d'une série d'outils utilisés depuis 2008 et
développés en continu au cours de ces sept dernières années.
Leurs outils (CozyDuke, MiniDuke, HammerDuke et SeaDuke,
entreautres)intègrenttousdesfonctionsvariéestellesquelevol
de mots de passe, l'ouverture d'une backdoor et le lancement
d'attaques par déni de service distribué (DDoS  – Distributed
Denial of Service).
Bien qu'il soit peu probable que le commun des internautes
le rencontre un jour, cet arsenal très ciblé concerne plus
précisémentetplusdirectementceuxquisontliésàdessociétés
ou des organes gouvernementaux présentant un intérêt pour
les Dukes.
Oman
Philippines
Malaisie
Argentine
Colombie
Mexique
Égypte
Équateur
IranEAU
Turquie
Tunisie
Roumanie
Maroc
Bulgarie
Taïwan
Grèce
Ukraine
Russie
Hongrie
CoréeduSud
Serbie
SriLanka
Inde
Chili
Chine
Pays-Bas
France
États-Unis
Royaume-Uni
Portugal
HongKong
Pologne
Italie
Australie
AfriqueduSud
Canada
Espagne
RépubliqueTchèque
Slovénie
Suisse
Croatie
Allemagne
Singapour
Estonie
Japon
FinlandeDanemark
Irlande
Autriche
Belgique
ThaïlandeBrésil
Norvège
Suède
Les vers ont significativement gagné en ampleur
en 2015 par rapport aux deux années précédentes.
1312
PRINCIPALES FAMILLES
DE MALWARE
En général, deux programmes malveillants qui
partagent un code ou un comportement spécifique
sont considérés comme membres d'une même famille.
Les logiciels de sécurité repèrent souvent les différentes
menaces d'une famille au moyen d'une détection qui
identifie leurs caractéristiques communes.
Les principales menaces observées en 2015 qui
appartenaient à des familles distinctes de malware
sont répertoriées à droite. La taille des bulles est
proportionnelle à leur pourcentage du total des
détections de malware par nos produits de sécurité sur
l'ensemble de l'année.
TENDANCES DES
PRINCIPALES FAMILLES
JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC
0,0
0,4
0,2
0,6
POURCENTAGEDUTOTALDESDÉTECTIONS
DEMALWARESIGNALÉESEN2015
MOIS (2015)
Njw0rm
ver
Gamarue
cheval de
Troie
Angler
kit
d'exploitation
Dorkbot
ver
Ippedo
ver
WormLink
exploit
Les principales familles présentées ont connu des pics d'activité manifestes tout au long de l'année
2015. Les détections de nouvelles familles de vers ont enregistré une hausse significative au second
semestre. Les variations de leur prédominance respective sont attribuables à plusieurs causes, par
exemple la distribution plus active des malware par le biais de campagnes de hameçonnage ou un
changement dans la logique de détection d'une famille spécifique.
PRINCIPALES
MENACES Njw0rm
ver
Gamarue
cheval de
Troie
Angler
kit d'ex-
ploitation
Worm-
Link
exploit
Dorkbot
ver
Kilim
cheval de
Troie
Nuclear
kit d'ex-
ploitation
Dridex
cheval de
Troie-télé-
chargeur
Ippedo
ver
Trojan.LNK.Gen
Sality
bot
Downadup
ver
(Conficker)
Trojan:
W32/
Autorun
Exploit:
Java/
Majava
Ramnit
bot
Trojan:
JS/
Redirector
Worm:
W32/
Kataja
PRINCIPAUX GÉNÉRIQUES ET
FAMILLES HÉRITÉES
Certains malware persistent durant des années. Ils
forment des «  familles héritées  » dont la longévité
s'explique de multiples manières, notamment par
l'infection de nouveaux internautes ou l'altération d'un
malware existant afin de réattaquer les mêmes cibles.
Certains malware échappent aux détections de famille,
mais pas aux détections génériques qui recherchent des
caractéristiques globalement similaires.
Les principales menaces observées en 2015 sont
répertoriées à droite. Elles comprennent aussi bien
les familles héritées que les détections génériques
(identifiées par leur nom complet). La taille des bulles
est proportionnelle à leur pourcentage du total des
détections de malware par nos produits de sécurité sur
l'ensemble de l'année.
TENDANCES DES PRINCIPAUX
GÉNÉRIQUES ET FAMILLES HÉRITÉES
Trojan:
W97M/
Malicious
Macro Exploit:
SWF/
Salama
JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC
0,0
0,2
0,4
0,6
0,8
1,0
1,2
MOIS (2015)
Trojan.LNK.Gen
(cheval de Troie
« raccourcis »)
Downadup ver
(Conficker)
Worm:W32/Kataja
Sality bot
Ramnit
bot
Trojan:W32/Autorun
Exploit:Java/Majava Trojan:W97M/
MaliciousMacro
Exploit:SWF/Salama
POURCENTAGEDUTOTALDESDÉTECTIONS
DEMALWARESIGNALÉESEN2015
Trojan:JS/Redirector
Sur ce graphique, les zones colorées représentent
les détections génériques, tandis que les lignes
représentent les familles de malware. Alors que
Trojan.LNK.Gen a sensiblement reculé à l'automne,
la progression des chevaux de Troie en juin marque le
grand retour des macro-malware.
1514
JANV
FÉV
MARS
AVR
MAI
JUIN
JUIL
AOU
SEP
OCT
NOV
DÉC
7 3 9 9 5 2 39 14 9 3 9 6
TOTAL DES ÉCHANTILLONS
(DEPUIS JANVIER)
NOMBRE D'ÉCHANTILLONS
REÇUS PAR MOIS
7 10
19
28
33 35
74
88
97 100
109
115
13+87+x CHEVAL DE TROIE
13 % (15 ÉCHANTILLONS)
73 % du total des échantillons
de chevaux de Troie
appartiennent à la famille
Flashback, un groupe de
malware qui téléchargent
des fichiers malveillants en se
connectant à un site distant.
58+42+x BACKDOOR
58 % (67 ÉCHANTILLONS)
La disponibilité du code source
pourrait en partie contribuer à
la proportion considérable des
backdoors parmi les menaces
visant Mac OS X.
2+98+x EXPLOIT
1 % (1 ÉCHANTILLON)
Exploit:OSX/CVE-2009-1237
tire parti d'une vulnérabilité
ancienne, possible cause de
déni de service.
28+72+x AUTRES
28 % (32 ÉCHANTILLONS)
Les autres menaces repérées
comprennent les applications
potentiellement indésirables
(API).
115
Nombre de malware Mac reçus
de
ÉCHANTILLONS
DISTINCTS
JANVIER à DÉCEMBRE 2015
MALWARE MAC
MALWARE ANDROID
SMSSEND
CHEVAL DE TROIE
Envoie des SMS à des
numéros surfacturés à
l'internaute.
1
SLOCKER
CHEVAL DE TROIE
Chiffre des fichiers
image, texte et vidéo,
puis exige une rançon
pour déverrouiller
les périphériques et
déchiffrer les fichiers.
2 FAKEINST
CHEVAL DE TROIE
Ressemble à un programme
d'installation d'une
application populaire, mais
envoie en fait des SMS à
des numéros ou services
surfacturés.
3
25+75+N
Le TOP 10 DES MALWARE ANDROID représente 25 % du
total des malware Android détectés en 2015.
25 %
GINMASTER
CHEVAL DE TROIE
Vole des informations
confidentielles sur les
périphériques touchés et
les communique à un site
web distant.
4
GINGERBREAK
EXPLOIT
Exploite une vulnérabilité
des systèmes Android
antérieurs à la version
2.34 en vue d'accéder
aux privilèges racine des
périphériques touchés.
5
SMSPAY
CHEVAL DE TROIE
Envoie des SMS à des
numéros surfacturés à
l'internaute.
6
DROIDROOTER
EXPLOIT
Accède aux privilèges
racine. Sert aussi d'outil de
piratage si délibérément
exécuté, en vue d'une
prise de contrôle racine.
7
DIALER
CHEVAL DE TROIE
Affiche constamment une
page plein écran à caractère
pornographique qui exhorte
l'internaute à composer un
numéro de téléphone.
8 SMSKEY
CHEVAL DE TROIE
Envoie des SMS à des
numéros surfacturés à
l'internaute.
9
COUDW
CHEVAL DE TROIE
Ouvre une backdoor qui
permet aux pirates de
prendre le contrôle des
périphériques touchés.
10
TOP 10DESMALWAREANDROID
15 %
2,5 %
2,3 %
1,7 %
1,2 %
0,5 %
0,5 %
0,4 %
0,3 % 0,2 %
EUROPE
Finlande
Signalement d'un nombre élevé
de détections de Trojan:JS/
Redirector, ainsi que des
menaces Downadup et Angler.
France
Seul pays signalant un nombre
significatif de chevaux de Troie
SmsSend sur Android. Détections
fréquentes de Downadup et
Trojan:JS/Redirector.
Royaume-Uni
Nombreux signalements du
kit d'exploitation Angler, de
Trojan:W97M/MaliciousMacro
et de Trojan:JS/Redirector.
Italie
Seul pays signalant une présence
significative du malware de vol bancaire
Expiro. Détections fréquentes de
Downadup et Trojan:W32/Autorun.
Danemark
Signalement de Trojan:JS/
Redirector, d'Exploit:W32/
OfficeExploitPayload et d'Angler
comme menaces les plus
fréquentes.
Suède
Signalement des kits d'exploitation
Angler et Nuclear, ainsi que de
Trojan:JS/Redirector comme menaces
les plus fréquentes.
Allemagne
Signalement d'un nombre élevé
de détections de Downadup,
d'Exploit:W32/OfficeExploitPayload
et de Trojan:JS/Redirector.
Autriche
Seul pays signalant une présence
significative du cheval de Troie
bancaire Banker. Détections
fréquentes des chevaux de Troie
FakePDF Trojan:JS/Redirector.
Suisse
Signalement de Trojan:JS/Redirector
et du kit d'exploitation Angler
essentiellement, avec Exploit:SWF/
Salama comme troisième menace la
plus fréquente.
MENACES PAR ZONE
GÉOGRAPHIQUE
Bien que les dix principales menaces se soient peu ou prou retrouvées
dans pratiquement tous les pays en 2015, les rapports de télémétrie
des internautes qui utilisent nos produits dans chaque région du
monde présentaient des profils de menaces distincts. L'Europe a été
particulièrementtouchéeparlekitd'exploitationAngler.Deplus,ellea
fréquemment été la cible du cheval de Troie Trojan:JS/Redirector ainsi
que d'attaques par fichiers contenant des macros qui téléchargent des
ransomware. Certains pays d'Europe ont signalé des taux élevés de
menaces particulières.
Pologne
Signalement de Trojan:W32/Autorun et du
kit d'exploitation Angler comme menaces
les plus fréquentes. Seul pays avec présence
significative du virus Virtob.
16
Afrique
Les signalements les plus
courants concernent les
fichiers de raccourcis
malveillants, suivis par ceux du
ver Ippedo et du bot Sality.
Moyen-Orient
Le ver Downadup reste la menace
la plus fréquemment signalée,
suivie par les fichiers de raccourcis
malveillants et le ver Njw0rm.
Amérique du Sud
Les fichiers de raccourcis
malveillants constituent
les malware les plus
courants, talonnés par
les vers Downadup et
Njw0rm.
Asie
Les internautes ont le plus souvent
été victimes de fichiers de raccourcis
malveillants ainsi que des vers Downadup
et Njw0rm. Les menaces liées aux botnets
(Sality et Ramnit) ont aussi fait l'objet de
signalements fréquents.
RESTE DU MONDE
Océanie
Les fichiers de raccourcis
malveillants et Angler ont fait
l'objet du plus grand nombre
de signalements. Les exploits
WormLink se sont également
distingués.
États-Unis
Les internautes ont signalé la
prédominance du kit d'exploitation
Angler et d'Exploit:SWF/Salama, suivis
par Trojan:JS/Redirector.
Japon
Outre la constante présence
de Downadup, les internautes
ont le plus souvent signalé
des détections d'Angler et de
Trojan:W32/Autorun.
Brésil
Outre la constante présence de
Downadup, les internautes ont signalé la
prépondérance de Trojan:JS/Redirector
et du kit d'exploitation Angler.
Des rapports de télémétrie concernant
d'autres régions que l'Europe ont fait état
d'une plus grande variété de malware,
certains pays apparaissant plus touchés que
la moyenne par un type particulier dans leur
zone géographique.
Inde
Le ver Downadup a été la menace la
plus souvent signalée, suivie par le
bot Sality et le ver Njw0rm.
Oman
Les internautes ont signalé la
présence significative des vers
Njw0rm et Dorkbot, ainsi que
de Worm:W32/Kataja.
Australie
Le kit d'exploitation Angler,
les exploits WormLink et
Trojan:W97M/MaliciousMacro
ont été les menaces les plus
signalées.
Amérique du Nord
La menace prédominante est le kit d'exploitation
Angler, suivi par les exploits Salama qui ciblent les
vulnérabilités Flash Player.
03
ÉTUDESDECAS
18	 Effraction dans le jardin clos
20	 Présentation des Dukes
17
1918
À l'heure actuelle, la plupart des attaques visent les
internautes. Les pirates aiment notamment les piéger de
façon à leur faire télécharger et installer eux-mêmes des
malware à leur insu (cette tactique est connue sous le nom
d'«  ingénierie sociale  »). Ils affectionnent également une
autre méthode, pourtant techniquement complexe, qui
consiste à exploiter des failles ou des lacunes permettant
d'infecter discrètement les périphériques des internautes.
Ces points faibles se trouvent en général au sein d'une
application ou d'un appareil. Ils sont plus rarement le fait
d'un programme, d'un processus ou d'un système sans
rapport direct avec l'internaute touché.
Cependant,certainspiratespréfèrentlescheminsdétournés.
Ainsi, fin 2015, l'App Store d'Apple a enregistré une série
d'incidents mettant en évidence les ramifications possibles
des attaques qui obéissent à une autre tactique : le ciblage
des développeurs. Ces incidents résultaient de l'utilisation
d'outils infectés par des développeurs, qui avaient ainsi créé
à leur insu des applications au comportement malveillant.
Celles-ciontréussiàpasseroutrelesprocéduresdecontrôle
de code d'Apple pour s'immiscer dans la plateforme et, de
là, dans les périphériques iOS standard des internautes.
RETRAIT DES APPLICATIONS XCODEGHOST DE
L'APP STORE
Apple soumet tous les programmes qui lui sont proposés à un
mécanisme de contrôle rigoureux avant de les ajouter à son
référentiel de logiciels, réputé merveilleusement exempt de
comportement malveillant. Le tout premier malware détecté
sur l'App Store en 2012 [1]
était l'application Find  Call, qui
utilisait les coordonnées stockées sur l'appareil touché pour
envoyer du courrier indésirable. Au cours des trois années
suivantes, seuls deux ou trois incidents relativement mineurs
se sont produits et les applications non conformes aux règles
strictes d'Apple se sont vues exclues de sa boutique.
En septembre 2015, cette situation idyllique a brusquement
tourné au cauchemar lorsqu'Apple a annoncé avoir retiré
de l'App Store plusieurs applications contaminées par un
programme malveillant du nom de XcodeGhost. Selon les
journalistes, plus de 30  applications étaient touchées mais
certains ont ultérieurement porté ce bilan à plus de 300[2,3]
.
Le point le plus remarquable de cet incident était qu'au
moins une partie des applications concernées provenaient
d'entreprises fiables et renommées dans le secteur du
développement de logiciels. La plus connue était sans doute
l'éditeur de WeChat, un programme de messagerie très
répandu. D'autres applications (Railway 12306, Camcard et
NetEase Cloud Music, entre autres) comptaient des millions,
voire des dizaines de millions d'adeptes. Si la majorité d'entre
eux se trouvaient en Chine continentale, bon nombre des
applications touchées étaient également utilisées dans
d'autres régions du monde, dont les États-Unis et l'Europe.
EFFRACTION
DANS LE
JARDIN CLOS
Les chercheurs des entreprises Weibo, Alibaba et Palo Alto
Networks, notamment, ont identifié la source du problème,
à savoir une version contaminée de l'outil de développement
Xcode d'Apple. Disponible gratuitement sur les serveurs de
la société, Xcode sert à compiler des applications destinées
aux plateformes iOS et Mac OS X. Toutefois, comme c'est le
cas pour de nombreux autres programmes commerciaux ou
d'entreprise, des services de partage de fichiers en proposent
des copies téléchargeables aux développeurs qui, pour une
raison quelconque, n'ont pas accès à la plateforme officielle.
Selonlesjournalistes,laconnexionInternetaurestedumonde
étant ce qu'elle est en Chine continentale, l'accès aux serveurs
situés à l'extérieur du pays se trouve nettement ralenti, surtout
pour y télécharger des fichiers volumineux (environ 3,5  Go
pour la dernière version de Xcode). Cette difficulté a incité
de nombreux développeurs à se servir de copies de l'outil
hébergéessurdesserveurssituésenChine.Malheureusement,
des lignes de code avaient été ajoutées à certaines d'entre
elles. Lorsque les développeurs compilaient leurs applications
respectives à l'aide du programme Xcode contaminé, ce code
supplémentaire s'y introduisait discrètement à leur insu.
Le code supplémentaire visait à communiquer des
informations stockées sur les périphériques touchés à un
serveur distant. Cependant, les chercheurs ont vite remarqué
qu'il n'existait aucune trace de dommage ni de vol de données
effectif. Il a néanmoins été recommandé aux internautes
ayant téléchargé des applications infectées de les supprimer
de leurs appareils ainsi que de changer leurs données de
connexion aux comptes de messagerie ou de réseaux sociaux
associés à ces applications en attendant que les développeurs
en fournissent une version propre.
AUTRE VICTIME : LA PLATEFORME UNITY
Peu après l'annonce de l'incident XcodeGhost, les chercheurs
en sécurité chez PwC ont déclaré que des copies clonées
de la plateforme Unity en cours de distribution avaient subi
une modification similaire, ce qui a valu à ces clones le nom
d'UnityGhost [4]
. Unity est un environnement commercial de
développement tiers qui permet de créer des applications
iOS (ainsi que des programmes destinés à d'autres systèmes
comme Android et Windows). Par chance, dans ce cas, aucune
application élaborée avec une copie contaminée ne s'est
retrouvée sur l'App Store.
RETRAIT DES APPLICATIONS COMPILÉES AVEC
YOUMI
Un mois plus tard, nouvel incident du même genre  : des
applications étaient supprimées de l'App Store, car elles
recueillaient des informations concernant les internautes
et leurs appareils [5]
. Dans ce cas, elles avaient été élaborées
à l'aide du kit de développement logiciel (SDK  – Software
Development Kit) tiers Youmi, qui permettait d'y intégrer
des publicités. Là encore, les développeurs ignoraient que
leurs créations étaient infectées de façon à passer outre les
strictes procédures de sécurité et de confidentialité mises en
place par Apple. Bien que la société n'ait pas précisé le nombre
d'applications retirées à cette occasion, la presse l'a estimé
à « plus de 250 ». Par ailleurs, l'entreprise basée en Chine à
l'origine du SDK Youmi a publié des excuses officielles [6]
et
spécifié qu'elle «  collaborait avec Apple pour résoudre ce
problème ».
CIBLAGE DES DÉVELOPPEURS
Collectivement, ces incidents démontrent clairement que les
remparts protégeant l'App Store ne sont pas inviolables et
qu'il est possible d'atteindre les propriétaires de périphériques
iOS en passant d'abord par les développeurs d'applications. En
effet, à chaque fois, l'outil de développement utilisé en toute
innocenceavaitétémodifiédefaçonàintroduirediscrètement
un code malveillant dans le produit fini.
Cetyped'attaquen'étaitpastoutàfaitnouveau :ainsi,en2010,
un virus avait été décelé qui introduisait du code indésirable
dans chaque fichier exécutable créé avec le programme
Delphi [7, 8]
. En revanche, le dernier incident en date a eu sur
l'App Store des répercussions publiques sans précédent.
Aujourd'hui, la plupart des détenteurs d'appareils mobiles
ne prêtent plus trop attention à l'avertissement standard  :
«  Méfiez-vous des boutiques d'applications tierces  ».
Manifestement, les développeurs ne sont pas plus à l'abri
que les « internautes lambda » des motifs qui poussent le plus
couramment à utiliser quand même ces sources, à savoir  :
l'insuffisance de la bande passante, l'accès restreint aux sites
web étrangers et l'alléchante disponibilité garantie par les
référentiels tiers. Dans le but de remédier au moins en partie à
cette situation, la société Apple a annoncé qu'elle prévoyait de
rendre le programme officiel Xcode plus facilement accessible
aux développeurs en Chine en le proposant également sur des
serveurs installés dans le pays [9]
.
Malgré cette récente mésaventure, l'App Store reste plus
difficile à pirater que l'écosystème Android (où le vecteur
d'attaque le plus simple et le plus efficace reste l'ingénierie
sociale).Toutefois,iln'estpasinviolable.Lesincidentssurvenus
soulignent combien il est essentiel de maintenir un contrôle
rigoureux tout au long du processus de développement. En
effet, non seulement une contamination d'une telle ampleur
met en péril la sécurité des internautes, mais elle ternit la
réputation et l'image de fiabilité des développeurs concernés
ainsi que de l'App Store même.
DÉVELOPPEURS
D'APPLIS
APP
STORE
Appli + code
malveillant
Appli propre
SOURCE TIERCEAPPLE
PIRATE
CONTAMINATION
AU STADE DE DÉVELOPPEMENT
Données
collectées
DÉTENTEURS
D'APPLICATIONS
 Sources répertoriées à la page 38.
L'HISTOIRE
John Kasai de Klagenfurt
Enregistrement d'un
vaste groupe de noms de
domaine sous l'alias « John
Kasai » de Klagenfurt, en
Autriche. Ces domaines
sont ensuite utilisés lors
de campagnes des Dukes
jusqu'en 2014.
Dans l'ombre
Les Dukes se font
discrets en 2012.
Utilisation active mais
mises à jour mineures
de CosmicDuke
et MiniDuke. En
revanche, utilisation
moindre mais mises
à jour majeures
de GeminiDuke et
CozyDuke.
Tchétchénie
Deux campagnes
PinchDuke repérées
en novembre 2008,
avec des références
à deux sites web
turcs comprenant du
contenu relatif à la
Tchétchénie.
Campagnes contre
l'Occident
PinchDuke lance deux
grandes campagnes
groupées. La première cible
un groupe de réflexion
spécialisé en politique
d'affaires étrangères
basé aux États-Unis ainsi
que des institutions
gouvernementales en
Pologne et en République
tchèque. La seconde vise à
collecter des informations
concernant les relations
entre la Géorgie et l'OTAN.
CosmicDuke dans le
Caucase
PinchDuke poursuit ses
campagnes contre des
pays du Caucase (Turquie,
Géorgie, Kazakhstan,
Kirghizistan, Azerbaïdjan
et Ouzbékistan) tout
en passant le relais en
douceur à un nouvel outil :
CosmicDuke. Enrichissement de
l'arsenal des Dukes
MiniDuke et CozyDuke
entrent en scène. Le
premier s'articule autour
d'une backdoor toute
simple tandis que le second
est plus polyvalent grâce
ses divers modules.
PinchDuke et
GeminiDuke
Deux outils auraient
été développés en
2008 : (1) PinchDuke,
lancé dans l'année et
(2) GeminiDuke, lancé
en janvier 2009.
MiniDuke se fait
remarquer
MiniDuke attire
l'attention des
chercheurs en sécurité,
qui en dissèquent des
échantillons et publient
leurs conclusions.
Cas particulier :
OnionDuke
OnionDuke fait ses
débuts, avec sa capacité
à voler des mots de
passe, collecter des
données, lancer des
attaques DoS et publier
du courrier indésirable.
Les Dukes et l'Ukraine
En 2013, bon nombre
de documents
pièges utilisés lors de
campagnes des Dukes
concernent l'Ukraine.
Une fois la crise
politique déclarée dans
le pays et la position
de la Russie connue,
l'Ukraine n'intéresse plus
les Dukes.
CosmicDuke en lutte
contre la drogue
En septembre 2013, une
campagne CosmicDuke
vise des intervenants
russes impliqués dans
le trafic de substances
illicites et réglementées.
MiniDuke renaît de ses
cendres
Après avoir ralenti ses
activités en 2013 pour rester
discret, MiniDuke opère
un retour en force en 2014.
Doté de composants revus
et corrigés, il devient plus
furtif.
CosmicDuke et son quart
d'heure de gloire
F-Secure et Kaspersky
publient des recherches
sur CosmicDuke. Malgré
ces révélations, les Dukes
préfèrent poursuivre leurs
opérations plutôt que de se
cacher.
CozyDuke et les vidéos
de singes
CozyDuke envoie des
e-mails de harponnage
contenant une vidéo Flash
piège d'une publicité du
Super Bowl 2007, mettant
en scène des singes dans
un bureau.
OnionDuke pris la main
dans le sac du nœud Tor
En octobre 2014, Leviathan
Security Group découvre
un nœud de sortie Tor
malveillant. L'enquête
F-Secure révèle qu'il
servait à infecter des
fichiers exécutables avec
OnionDuke. Cette variante
n'était pas destinée à lancer
des attaques ciblées mais
plutôt à former un petit
botnet.
Les Dukes se dépassent
Janvier 2015 marque le
début de la plus importante
campagne des Dukes à
ce jour, qui repose sur
l'envoi massif d'e-mails de
harponnage. CozyDuke
poursuit ses opérations,
relayé ensuite par SeaDuke
et HammerDuke. SeaDuke,
en langage Python,
fonctionne sur Windows et
sur Linux. HammerDuke, en
langage .NET, fonctionne
seulement sur Windows.
CloudDuke
Lancement d'une nouvelle
grande campagne de
hameçonnage en juillet
2015 avec un nouvel
outil baptisé CloudDuke.
Opération en deux vagues.
CosmicDuke poursuit ses
frappes chirurgicales
En parallèle des campagnes
d'envergure de CozyDuke
et CloudDuke, CosmicDuke
se concentre sur de
discrètes frappes ciblées.
PRÉSENTATION
DUKESDES
Les membres des Dukes forment un groupe de cyber
espionnage hautement spécialisé, extrêmement bien
organisé et doté de nombreuses ressources. Nous pensons
qu'ils travaillent pour la Fédération de Russie depuis au
moins 2008 dans le but de recueillir des renseignements
permettant d'influer sur les décisions prises en matière
de politiques de sécurité et d'affaires étrangères.
2008 2009 2010 2011 2012 2013 2014 2015
PIÈGES
EXPLOITATION DE
VULNÉRABILITÉS
Des e-mails de
harponnage
contenant des pièces
jointes malveillantes
ou des liens vers des
URL hébergeant des
malware infectent
plusieurs victimes.
Une exploitation
Zero Day utilise
CVE-2013-0640 pour
déployer MiniDuke.
Des exploits
disponibles
sont utilisés au
sein de vecteurs
d'infection et de
malware.
VECTEURS
D'INFECTION
Des images,
documents et
vidéos Flash sont
employés comme
fichiers pièges au
sein de vecteurs
d'infection.
RÔLE ET PARRAINAGE
PAR L'ÉTAT
Les Dukes
seraient un
groupe de cyber
espionnage
soutenu par
les autorités
gouvernementales
russes.
Cibles : entités
intervenant dans
le domaine des
politiques de
sécuritéetd'affaires
étrangères.
Mission : recueillir
des renseignements
permettant d'influer
sur les politiques de
sécurité et d'affaires
étrangères.
LES
OPÉRATIONS
Les victimes peuvent se
trouver de nouveau infectées
par un autre outil malveillant
de l'arsenal des Dukes.
Exemple : les victimes de
CozyDuke sont aussi touchées
par SeaDuke, HammerDuke
ou OnionDuke.
L'une des
variantes
d'OnionDuke se
propage via un nœud
Tor malveillant qui
insère un cheval de Troie
au sein d'applications
légitimes.
Novembre 2008
-	
HTTP(S)
Chargeurs, voleur
d'informations
Début :
Alias : 	
Communication :
Composants :
Début :
Alias : 	
Communication : 	
Composants :
Janvier 2009
-	
HTTP(S)
Chargeurs, voleur
d'informations,
composants persistants
Début :
Alias : 	
Communication : 	
Composants :
Janvier 2010
Tinybaron,
BotgenStudios,
NemesisGemina
HTTP(S), FTP, WebDav
Chargeurs, voleur d'informations,
mécanisme d'élévation de privilèges,
composants persistants
Début :
Alias : 	
Communication : 	
Composants :
Juillet 2010 (chargeur),
mai 2011 (backdoor)
-
HTTP(S), Twitter
Téléchargeur,
backdoor, chargeur
Début :
Alias :
Communication : 	
Composants :
Janvier 2010
CozyBear, CozyCar,
Cozer, EuroAPT
HTTP(S), Twitter
(sauvegarde)
Injecteur, backdoor modulaire, composants
persistants, module de collecte
d'informations, module de capture d'écran,
voleur de mots de passe, voleur de hachage
du mot de passe
Début :
Alias : 	
Communication : 	
Composants :
Février 2013
-
HTTP(S), Twitter
(sauvegarde)
Injecteur, chargeur,
composants clés modulaires, voleur
d'informations, module DDoS, module
de collecte d'informations, voleur de
mots de passe, expéditeur de courrier
indésirable sur les réseaux sociaux
Début :
Alias : 	
Communication : 	
Composants :
Octobre 2014
SeaDaddy, SeaDask
HTTP(S)
Backdoor
Début :
Alias : 	
Communication : 	
Composants :
Janvier 2015
HAMMERTOSS,Netduke
HTTP(S), Twitter
Backdoor
Début :
Alias : 	
Communication : 	
Composants :
Juin 2015
MiniDionis, CloudLook
HTTP(S), Microsoft
OneDrive
Téléchargeur,
chargeur, deux variantes de backdoor
Les Dukes sont connus pour leur vaste arsenal de malware que nous
avons identifiés par les noms PinchDuke, GeminiDuke, CosmicDuke,
MiniDuke, CozyDuke, OnionDuke, SeaDuke, HammerDuke et
CloudDuke.
Ces dernières années, le groupe s'est lancé dans de grandes
campagnes semestrielles de harponnage visant des centaines,
voire des milliers de destinataires liés à des institutions
gouvernementales et entités connexes.
THE DUKES: 7 YEARS OF RUSSIAN CYBERESPIONAGE
https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf
La recherche concernant les Dukes est publiée dans son intégralité sur le site web
du Laboratoire F-Secure.
LESOUTILS
GEMINIDUKE
COSMICDUKE
MINIDUKE
COZYDUKE
ONIONDUKE
SEADUKE
HAMMERDUKE
CLOUDDUKE
PINCHDUKE
23
04
CHAÎNEDECONTAMINATION
23	 Un modèle axé sur les utilisateurs
24	 Étape par étape
25	 Principales menaces par étape
26	Njw0rm
27	CosmicDuke
28	Étapes
28	Inception
29	Intrusion
31	Infection
33	 Invasion : Infiltration
34	 Invasion : Infestation
Faciles à retenir, les phases de la chaîne commencent toutes
les quatre par « in » :
zz 	Inception – Phase durant laquelle un système ou un
appareil est exposé à une menace potentielle
zz 	Intrusion – Phase durant laquelle le pirate parvient à
accéder au système
zz 	Infection – Phase durant laquelle le pirate réussit à
installer du contenu malveillant sur le système attaqué
zz 	Invasion – Phase durant laquelle le contenu malveillant
continue de fonctionner après l'infection initiale, ce qui
aggrave généralement les conséquences de l'attaque
Des exemples sont donnés pour chacune de ces phases au fil
des pages suivantes. Il convient cependant de rappeler que
la chaîne de contamination est axée sur les utilisateurs. Par
conséquent, les ressources correspondant à chaque phase
dépendent de la façon dont les internautes sont attaqués.
Prenons l'exemple particulièrement parlant de l'ingénierie
sociale : les pirates peuvent employer cette tactique pendant
l'inception et l'intrusion.
En outre, les victimes doivent bien comprendre que leur
contamination à un certain niveau de sécurité ne les
met pas subitement en échec total. Cette notion s'avère
particulièrement importante pour les administrateurs
informatiques responsables de la sécurité de réseaux entiers.
Toutes les sociétés, même les plus petites, doivent mettre en
place des solutions afin d'éviter les attaques tout au long de la
chaîne, et définir un plan pour empêcher les pirates de gagner
du terrain et d'atteindre leurs objectifs.
 Sources répertoriées à la page 39.
La chaîne de contamination est un modèle axé sur les
utilisateurs qui illustre les combinaisons de tactiques et de
ressources utilisées pour infecter leurs périphériques et leurs
réseaux. Ce genre de modèle est aujourd'hui nécessaire, étant
donné l'évolution de la typologie des menaces au cours de
la dernière décennie. Fini le temps des pirates amateurs qui
créaientdesvirusinformatiquesparsimplecuriosité.Lescyber
attaquesmodernes,dynamiquesetperfectionnées,sontlefait
decriminels,desaboteursetdepiratesmilitants,voired'États-
nations, tous animés par des objectifs différents. Pour ne pas
être en reste, les chercheurs en sécurité, les administrateurs
informatiques et le grand public en général doivent mieux
comprendre ce à quoi ils se trouvent confrontés. La chaîne
de contamination met en évidence le perfectionnement des
menaces actuelles, considérées comme des événements
multiphases : chaque étape engendre des effets spécifiques,
souvent combinés par les pirates en vue d'augmenter les
dommages potentiels.
D'autres modèles présentent les cyber attaques comme des
événements multiphases dynamiques. C'est notamment le
cas de la Cyber Kill Chain [1]
de Lockheed Martin et du cycle
de vie des exploitations de Mandiant [2]
, bien connus des
chercheurs en sécurité du monde entier. Si ces deux exemples
décomposent la démarche des APT, le modèle de la chaîne de
contamination, lui, est axé sur les utilisateurs afin de permettre
aux particuliers comme aux entreprises de comprendre les
menacesquiplanentsurleurspropressystèmes.Enexpliquant
les différents niveaux de contamination qui accompagnent
chaque phase, ce modèle vise à donner à ses destinataires,
notamment aux administrateurs informatiques, de nouvelles
clés pour prévoir, empêcher et intercepter les attaques avant
qu'elles ne causent des violations de données ou d'autres
coûteux incidents de sécurité.
La chaîne de contamination comprend quatre grandes phases.
Bien que les attaques et outils des pirates se limitent parfois à
une seule, c'est rarement le cas à l'heure actuelle. En effet, les
menaces modernes associent en général plusieurs phases afin
de démultiplier les dégâts occasionnés. De plus, même si les
pirates peuvent abandonner un certain type d'attaque ou de
campagne, il vaut mieux que les particuliers et les entreprises
préparent leur défense contre les menaces et composants
multiphases afin de ne pas leur prêter le flanc.
CHAÎNE DE CONTAMINATION
Un modèle axé sur les utilisateurs
22
2524
UN CODE MALVEILLANT S'EXÉCUTE
DANS LE SYSTÈME DE LA VICTIME
Les pirates peuvent installer (ou « injecter ») un
contenu qui exécute en général un code ou logiciel
malveillant produisant des effets indésirables. Ce
contenu malveillant comprend des malware du type
ransomware, bot, virus ou cheval de Troie.
LES PIRATES ACCÈDENT AUX SYSTÈMES
EXPOSÉS
Les pirates peuvent tirer parti des vulnérabilités
des systèmes à l'aide d'un code spécial (exploit).
Ils peuvent aussi piéger les internautes de sorte
qu'ils leur donnent accès à leur ordinateur sans le
savoir (ingénierie sociale).
LES INTERNAUTES ET LEURS APPAREILS
SONT EXPOSÉS AU PIRATAGE
Navigation sur Internet, envoi d'e-mails, utilisation
de lecteurs amovibles… autant d'activités normales
au cours desquels les internautes peuvent, sans
le savoir, s'exposer à des menaces. Par ailleurs, les
pirates peuvent tenter, par la ruse ou par la force,
de les placer en position de faiblesse, au moyen
d'attaques techniques (redirecteurs et malware,
par exemple) ou d'opérations d'ingénierie sociale
(campagnes de hameçonnage, entre autres).
LES PIRATES CHERCHENT À PROLONGER
OU DÉMULTIPLIER LEURS DOMMAGES
L'attaque persiste ou s'intensifie de façon à
contaminer davantage sur le système touché ou les
réseaux exposés.
CHAÎNE DE CONTAMINATION
Étape par étape
INCEPTION
INTRUSION
INFECTION
INVASION
UN CODE MALVEILLANT S'EXÉCUTE DANS
LE SYSTÈME DE LA VICTIME
Ces menaces sont souvent injectées dans un système
par le biais d'autres malware ou après contamination
par un kit d'exploitation.
INCEPTION
INTRUSION
INFECTION
INVASION
LES PIRATES ACCÈDENT AUX SYSTÈMES
EXPOSÉS
Ces menaces (toutes de type exploit) offrent un accès
direct au système des victimes en exploitant ses
vulnérabilités ou les programmes qui y sont installés.
Elles peuvent aussi permettre aux pirates d'en prendre
le contrôle.
LES INTERNAUTES ET LEURS APPAREILS
SONT EXPOSÉS AU PIRATAGE
Ces menaces ont essentiellement pour but de placer
les victimes en position de faiblesse. Ainsi, les chevaux
de Troie redirecteurs orientent les internautes vers des
sites malveillants qui les exposent souvent à des kits
d'exploitation. En général, les chevaux de Troie Macro,
Autorun et « raccourcis » (sans oublier le ver Njw0rm)
se dissimulent dans des fichiers en apparence inoffensifs
pour que leurs cibles les enregistrent dans leur système,
ce qui augmente la probabilité de leur exécution.
LES PIRATES CHERCHENT À PROLONGER OU
DÉMULTIPLIER LEURS DOMMAGES
Une fois présentes dans un système, ces menaces sont
capables de se démultiplier sur les autres machines
appartenant au même réseau, renforçant ainsi les
effets de la première infection. Certaines menaces,
comme Gamarue ou Dorkbot, peuvent aussi contacter
un serveur distant pour récupérer des instructions
complémentaires des cyber criminels, susceptibles
d'accroître l'impact de l'infection.
Gamarue
cheval de
Troie
WormLink
exploit
Nuclear
kit
d'exploitation
Downadup
ver
(Conficker)
Ippedo
ver
Trojan.LNK.Gen
Sality
bot
Trojan:
W32/
Autorun
Ramnit
bot
Trojan:
JS/
Redirector
Worm:
W32/
Kataja
Trojan:
W97M/
Malicious
Macro
Exploit:
SWF/
Salama
Njw0rm
ver
Dorkbot
ver
Dridex
cheval de
Troie-télé-
chargeur
CHAÎNE DE CONTAMINATION
Principales menaces
par étape
Kilim
cheval de
Troie
Exploit:
Java/
Majava
24 25
Angler
kit
d’exploitation
2726
NJW0RM
Chaîne de contamination
LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS
Le ver Njw0rm peut s'introduire dans un système
de deux façons : lors de téléchargements à la
dérobée sur des sites web malveillants ou en
misant sur la curiosité des internautes qu'il invite
à ouvrir une pièce jointe malveillante ou un fichier
sur un lecteur amovible infecté.
LES INTERNAUTES ET LEURS APPAREILS SONT
EXPOSÉS AU PIRATAGE
Le ver Njw0rm se propage par le biais des
lecteurs amovibles touchés, de sites web
malveillants et d'e-mails conçus spécialement
à l'attention de particuliers ou d'entreprises
spécifiques (harponnage).
LES PIRATES CHERCHENT À PROLONGER OU
DÉMULTIPLIER LEURS DOMMAGES
Le ver Njw0rm ouvre une backdoor dans le
système, créant ainsi un point d'entrée pour
une potentielle contamination ultérieure. Il
fonctionne également comme un bot qui donne
au pirate le contrôle à distance de l'ordinateur
infecté. De plus, il est capable de voler des
données de connexion en ligne, de se mettre à
jour ou se désinstaller tout seul et de renseigner
l'auteur de l'attaque sur le système touché.
UN CODE MALVEILLANT S'EXÉCUTE DANS
LE SYSTÈME DE LA VICTIME
Une fois exécuté, le vers Njw0rm s'installe
dans plusieurs dossiers système clés. De plus,
il manipule le registre système de sorte qu'il
soit automatiquement exécuté à chaque
redémarrage.
Il s'agit d'un ver VBS qui se propage par le biais de lecteurs amovibles, de pièces jointes à des
e-mails ciblés à l'attention de particuliers ou d'entreprises et de téléchargements à la dérobée sur
des sites web malveillants. Une fois introduit dans un système, il y exécute d'autres fichiers, vole
des identifiants, mots de passe et informations sur les portails en ligne associés, se met à jour ou
se désinstalle tout seul, et contacte un serveur de commande et contrôle (CC) pour obtenir des
instructions complémentaires. De plus, il renseigne l'auteur de l'attaque sur le système touché, en lui
communiquant les adresses IP visitées, des informations sur le système d'exploitation, etc.
COSMICDUKE
UN CODE MALVEILLANT S'EXÉCUTE DANS
LE SYSTÈME DE LA VICTIME
CosmicDuke infecte les systèmes avec un voleur
d'informations doté de fonctions de keylogging,
de capture d'écran et d'exportation de clés
de déchiffrage, capable de voler des données
de connexion des navigateurs et clients de
messagerie électronique ou instantanée.
LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS
CosmicDuke s'insinue dans un système en
exploitant ses vulnérabilités logicielles lorsque
la victime ouvre ou affiche une pièce jointe
malveillante, ou en comptant sur sa curiosité pour
lui faire exécuter le code de la pièce jointe en
question.
LES INTERNAUTES ET LEURS APPAREILS SONT
EXPOSÉS AU PIRATAGE
Les internautes se trouvent initialement
exposés à CosmicDuke via des campagnes
de harponnage utilisant des pièces jointes
malveillantes.
LES PIRATES CHERCHENT À PROLONGER OU
DÉMULTIPLIER LEURS DOMMAGES
CosmicDuke exfiltre des données volées via les
protocoles HTTP, HTTPS, FTP ou WebDav à l'aide
de serveurs CC. Il s'agit notamment de données
de connexion grâce auxquelles les pirates peuvent
accéder aux systèmes touchés à distance, sans
aucun malware supplémentaire ni outil spécial, et
faire ainsi persister leur contamination bien au-delà
du niveau d'infection initial.
Chaîne de contamination
CosmicDuke est le nom de l'un des outils utilisés par les Dukes, un groupe de cyber espionnage qui
serait soutenu par l'État russe (voir « Présentation des Dukes », p. 20). Depuis 2008, les Dukes utilisent
activement au moins neuf outils pour voler des informations dans le cadre de leurs opérations de
renseignement. Les autorités gouvernementales, organes politiques et autres entités détenant des
informations relatives aux politiques de sécurité et d'affaires étrangères de différents pays sont leurs
cibles de prédilection.
CosmicDuke repose sur un voleur d'informations. Les pirates peuvent décider de lui adjoindre
individuellement plusieurs autres composants. CosmicDuke disposera alors de fonctions
supplémentaires (par exemple, plusieurs méthodes de persistance) ainsi que de modules qui visent à
exploiter les vulnérabilités permettant de l'exécuter avec une élévation de privilèges.
INCEPTION
INTRUSION
INFECTION
INVASION
26 27
2928
INCEPTION
L'inception est la première phase de la chaîne de contamination. Elle concerne tous les
internautes, particuliers comme entreprises, exposés à des menaces en général ou à une
seule menace précise. Il arrive souvent que les particuliers et les entreprises s'exposent à
des menaces sans le savoir et les pirates anticipent désormais ce comportement. Toutefois,
ces derniers sont nombreux à jouer un rôle plus actif afin de mettre leurs cibles potentielles
en position de faiblesse au moyen d'attaques techniques (malware, par exemple) et/ou
d'opérations d'ingénierie sociale (campagnes de hameçonnage, entre autres).
Trojan:JS/Redirectorestunensembled'attaqueswebvisantàredirigerlesinternautesversunsiteweb
non désiré à partir du site web qu'ils consultent ou souhaitent visiter. Dans certains cas, il arrive aux
sites légitimes de rediriger leurs visiteurs : les pirates ont détourné cette technique afin de les orienter
vers des pages malveillantes. En général, ils contaminent l'un de ces sites légitimes dans l'intention
d'atteindre ceux qui le consultent.
Trojan:JS/Redirector utilise des sites web non désirés qui
partagent tout ou partie des caractéristiques suivantes :
zz Contenu à caractère pornographique
zz Injection de malware dans l'ordinateur de l'internaute
zz Exfiltration de données stockées sur l'ordinateur de
l'internaute
zz Opération frauduleuse avec détournement du trafic
Internet entrant
Les redirecteurs constituent des moyens aussi courants
qu'efficaces pour lancer une attaque, et les pirates s'en sont
fréquemment servis en 2015 pour orienter le trafic Internet
vers des kits d'exploitation.
Trojan:JS/Redirector.FE a été le plus actif des redirecteurs
observés en 2015. Il renvoyait les internautes vers des
serveurs hébergeant des kits d'exploitation, notamment deux
prépondérants : Angler et Neutrino. La plupart des attaques
de Trojan:JS/Redirector.FE ont été détectées en Allemagne,
suivie par la France, la Suède et les États-Unis.
Trojan:JS/Redirector.FD (alias BizCN [1]
) s'est lui aussi montré
actif en 2015. À l'origine, il renvoyait les internautes vers des
serveurs hébergeant FiestaEK, avant de passer à NuclearEK et
NeutrinoEK. Il a enregistré bien plus de détections aux États-
Unis qu'ailleurs, mais s'est aussi révélé sensiblement présent
au Royaume-Uni, en Finlande et au Canada.
Trojan:SWF/Redirector.EW (alias EITest Flash Redirector [2]
)
s'est aussi passablement illustré en 2015, plus particulièrement
au printemps et à l'automne. Il semble avoir servi à lancer les
campagnes AnglerEK qui ont sévi durant ces périodes. Là
encore, les régions les plus touchées ont été l'Amérique du
Nord (États-Unis) et l'Europe (Suède, Royaume-Uni et Pays-
Bas).
Pour rappel, bon nombre des sites web qui hébergent des
redirecteurs ne sont pas eux-mêmes malveillants. Il s'agit
simplement de sites légitimes que leurs failles intrinsèques
laissent à la merci des pirates, ce qui en fait des victimes et
non des criminels. Par exemple, il ressort qu'un grand nombre
des sites web hébergeant Trojan:SWF/Redirector.EW ont été
conçus avec WordPress. Il est tout à fait possible que les sites
web touchés aient été précisément ciblés pour cette raison,
ou bien parce qu'ils utilisaient un plug-in vulnérable.
Toutefois, un faisceau de preuves semble indiquer que les
pirates ont utilisé d'autres techniques, notamment des
attaquesbrutalespourrécupérerlesmotsdepasseprotégeant
lesdroitsd'accèsdeniveauadministrateurauxsiteswebciblés.
Or, le chargement de scripts malveillants (des redirecteurs,
par exemple) devient un jeu d'enfant pour les pirates lorsqu'ils
disposent de ce genre d'accès.
La prédominance des détections de Trojan:JS/Redirector en
Amérique du Nord et en Europe correspond aux observations
faisant état de la place prédominante des kits d'exploitation
dans ces régions du monde. Les redirecteurs devraient
donc être considérés comme de graves menaces visant les
particuliers et les entreprises qui y sont installés.
Les redirecteurs sèment la panique aux USA et dans l'UE
 Sources répertoriées à la page 39.
PAYS LES PLUS TOUCHÉS
POURCENTAGE DES DÉTECTIONS SIGNALÉES PAR PAYS
TROJAN:JS/
REDIRECTOR.FE
Allemagne
France
Suède
États-Unis
Autres
23
17
11
10
39
TROJAN:JS/
REDIRECTOR.FD
États-Unis
Royaume-Uni
Canada
Finlande
Autres
58
10
8
8
17
TROJAN:SWF/
REDIRECTOR.EW
Suède
États-Unis
Royaume-Uni
Pays-Bas
Autres
30
21
14
11
26
VULNÉRABILITÉS TOP 5 DES KITS D'EXPLOITATION
Programme Réf. CVE Angler Neutrino Nuclear Magnitude Rig
Flash Player CVE-2015-0310
Flash Player CVE-2015-0311
Flash Player CVE-2015-0313
Flash Player CVE-2015-0336
Flash Player CVE-2015-0359
Flash Player CVE-2015-3090
Flash Player CVE-2015-3105
Flash Player CVE-2015-3113
Flash Player CVE-2015-5119
Flash Player CVE-2015-5122
Silverlight CVE-2015-1671
Internet Explorer CVE-2015-2419
Flash Player CVE-2015-5560
Flash Player CVE-2015-7645
Flash Player CVE-2015-8446
L'intrusion est la phase de la chaîne de contamination qui marque le début de l'attaque
proprement dite. Les particuliers et les entreprises qui s'exposent à des menaces fournissent
aux pirates l'occasion de s'immiscer dans leurs systèmes. Les techniques d'ingénierie
sociale visent à piéger les internautes de sorte qu'ils permettent aux pirates d'accéder à leur
ordinateur. Pourtant, la ressource la plus plébiscitée en matière d'intrusion est l'exploit. Ce
type de menace permet aux pirates de tirer parti des vulnérabilités logicielles afin d'obtenir
un certain niveau d'accès, voire de contrôle, sur les systèmes exposés.
menaces en Suède, aux États-Unis, au Royaume-Uni et en
Australie. Angler s'est montré capable de prendre en charge les
vulnérabilités Flash plus vite et plus souvent que les autres kits
d'exploitationprépondérants.Lepiratagedelasociétéitalienne
Hacking Team, spécialisée en logiciels de surveillance, illustre
la redoutable efficacité de ce type de menace, surtout Angler,
pour exploiter de nouvelles failles.
Incident Hacking Team
Durant la première semaine de juillet 2015, un volume
considérable de données détenues par Hacking Team a été
rendu public. Il contenait notamment deux vulnérabilités Flash
Zero Day.
La première, CVE-2015-5119, a été utilisée le jour même de
l'incident par trois kits d'exploitation (Angler, Neutrino
et Nuclear). Deux autres l'ont reprise dans les deux jours
suivants, bien qu'Adobe ait fourni un correctif le lendemain de
la publication des données [1]
.
La seconde, CVE-2015-5122, a été adoptée par AnglerEK le
lendemain de sa découverte parmi les données de Hacking
Team [2]
. NeutrinoEK l'a reprise le jour suivant. Deux jours
plus tard, les créateurs de NuclearEK et RigEK ont également
intégré à leurs kits des exploits ciblant cette vulnérabilité. Le
tout avant qu'Adobe ait pu élaborer et déployer un correctif.
Les exploits sont des bouts de code conçu pour tirer parti
des vulnérabilités logicielles des ordinateurs et représentent
une ressource prépondérante des pirates à l'heure actuelle.
Leur réussite dépend de leur découverte d'une vulnérabilité
logicielle dans les systèmes ciblés. Les exploits se trouvent
souvent groupés dans un kit d'exploitation, qui a pour but
de scanner les logiciels installés sur les appareils touchés à
la recherche de vulnérabilités non corrigées afin d'employer
l'exploit le plus pertinent. Il ne reste alors plus au kit qu'à
exploiter cette faille de sécurité de façon à injecter du contenu
malveillant, sous forme de ransomware par exemple.
Dans la lignée des observations de 2014, les kits d'exploitation
ciblant les vulnérabilités Flash ont de nouveau affiché une
présence prépondérante en 2015. S'il existait en 2013 des
kits d'exploitation visant plusieurs vulnérabilités Java, leurs
créateurs se sont maintenant tournés vers Flash.
AnglerEK,leplusactifetleplusefficaceenmatièred'intégration
d'exploits destinés aux vulnérabilités Flash, a été remarqué
dans un certain nombre de campagnes tout au long de l'année
dernière. Ses créateurs l'ont en effet doté d'une prise en
charge des vulnérabilités Flash plus souvent que les auteurs
des autres principaux kits d'exploitation. En 2015, AnglerEK
a été fréquemment détecté dans plusieurs pays différents,
au point de se hisser à la première place du classement des
INTRUSION
AnglerEK domine Flash
VULNÉRABILITÉS LES PLUS UTILISÉES PAR LE TOP 5 DES KITS D'EXPLOITATION EN 2015
Angler a été le kit d'exploitation le plus actif et le plus efficace
en matière d'intégration d'exploits à son arsenal.
3130
Public Vulnérabilité
rendue
publique
Corrigé Correctif
émis par le
fournisseur
Exploit ajouté
au kit
d'exploitation
FRISE DE L'AJOUT DES PRINCIPAUX EXPLOITS AUX KITS D'EXPLOITATION
Public
MAI JUIN JUIL AOU
CVE-2015-1671
MS15-065
Silverlight
CVE-2015-2419
MS15-044
Internet Explorer
Public
Angler Magnitude
Angler
Magnitude
Nuclear
Public
Public
Corrigé
6 127 8 9
Corrigé
10 11 13 14
RigMagnitude
Angler
Neutrino Nuclear
Rig
Magnitude
MOIS
JOURS
*Vulnérabilités Flash Player révélées
lors du piratage de Hacking Team
Angler
Nuclear
Neutrino
Neutrino
Flash étant utilisé sur plusieurs plateformes, ses failles
constituent des cibles de choix pour les développeurs de
kits d'exploitation. D'ailleurs, ils sont bien plus nombreux
et réactifs quand il s'agit de créer des exploits visant les
vulnérabilités Flash que lorsqu'il est question de s'adapter aux
failles d'autres programmes. Ainsi, les créateurs d'Angler et
de Magnitude ont mis deux mois à exploiter la vulnérabilité
Silverlight CVE-2015-1671 révélée en mai. De la même façon,
les cinq principaux kits d'exploitation n'ont pas pris en charge
la vulnérabilité Internet Explorer révélée à la mi-juillet avant le
mois d'août.
AnglerEK a été assez souvent détecté en 2015 pour compter
parmi les formes d'intrusion les plus couramment rencontrées
par les particuliers et les entreprises.
CVE-2015-5119*
CVE-2015-5122*
En avril dernier, l'organisme américain chargé de la sécurité
informatique (US-CERT – United States Computer Emergency
Readiness Team) a publié une alerte concernant l'utilisation
de logiciels non corrigés dans les entreprises. Selon ses
informations, 85 % des attaques ciblées pourraient être évitées
et les entreprises devraient plus rapidement corriger et mettre
à jour leurs logiciels afin de donner moindre prise aux pirates [3]
.
Cependant, cette alerte n'a toujours pas produit l'effet
escompté. D'après certaines recherches, un quart des
versions de WordPress actuellement utilisées en Finlande
contiendraient des vulnérabilités exploitables. De plus, les
donnéeshistoriquesportentàcroirequelasituations'aggrave.
Ainsi, une enquête similaire conduite en 2014 avait conclu que
24 % des versions de WordPress étaient vulnérables, un chiffre
en hausse à 26 % en 2015.
Lesfailleslogiciellessontlaraisond'êtredumarchédesexploits,
qui fait florès en tirant parti de l'utilisation constante de logiciels
obsolètes ou non corrigés. Cette situation génère en effet une
demande pour les exploits adaptés à ces vulnérabilités, ce qui
stimule à son tour l'offre des créateurs. Le fait que WordPress ait
vu son taux d'utilisation doubler en Finlande entre 2014 et 2015
devrait être considéré comme un indicateur du potentiel de
croissance dont jouit le marché des exploits WordPress.
UTILISATION
DE WORDPRESS
EN FINLANDE
WordPress dans la tourmente
en Finlande 25 000
15 000
5 000
0
2014 2015
Vulnérable Mis à jour
 Sources répertoriées à la page 39.
Les infections par malware sont la bête noire des particuliers
comme des entreprises, car elles déterminent l'impact de
l'attaque sur les internautes. En effet, dès qu'un pirate peut
accéder à un système, il est libre d'y insérer un ou plusieurs
fichiers malveillants produisant des effets indésirables. Selon
les caractéristiques de l'attaque, les malware entraînent des
violations et autres incidents de sécurité, dont des violations
de données, la perte de contrôle sur les informations ou sur
l'infrastructure critique et la dégradation des performances
système. En 2015, le contenu malveillant employé a pris la
forme de chevaux de Troie bancaires (Dridex), de botnet
(Ramnit ou Sality), de voleurs d'informations (Fareit) ainsi
que de diverses familles de ransomware.
Les ransomware ont eu la faveur des kits d'exploitation les
plus souvent détectés en 2015 et sont devenus des outils
efficaces pour extorquer aussi bien les particuliers que les
entreprises. Ces familles de menaces sont conçues pour
soutirer de l'argent à leurs victimes en verrouillant leurs
périphériques et leurs données jusqu'à ce qu'elles versent
une rançon (« ransom », en anglais). L'approche adoptée
pour bloquer l'accès aux systèmes varie selon les familles.
En revanche, elles ne se divisent qu'en deux groupes : les
ransomware «  Gendarmerie  » et les crypto-ransomware.
Les premiers bloquent tout accès aux périphériques et aux
données en se faisant passer pour des représentants de
la force publique informant l'internaute qu'il a violé une
quelconque loi et doit payer une amende pour retrouver
l'usage de son système infecté. Les seconds chiffrent le
contenu des périphériques afin d'empêcher la victime de
s'en servir jusqu'à ce qu'elle paie une rançon pour obtenir la
clé de déchiffrage correspondante.
Bien que le nombre de ransomware «  Gendarmerie  » ait
diminué en 2015, plusieurs familles de crypto-ransomware
ont fait des adeptes, d'où la présence globalement stable de
ce type de menace.
La famille de ransomware « Gendarmerie » Browlock a perdu
du terrain par rapport à 2014, mais elle s'est suffisamment
illustrée début 2015 pour enregistrer davantage de
détections que toutes les autres familles sur l'année entière.
À l'inverse, plusieurs variantes de crypto-ransomware sont
montées en puissance au fil des mois. Ainsi, CryptoWall a
pris assez d'importance en 2015 pour éclipser plusieurs
familles de ransomware « Gendarmerie » régnantes en 2014,
au point de devenir la famille de crypto-ransomware la plus
active pendant la majeure partie de l'année. Deux autres
familles, Crowti et Teslacrypt, se sont montrées plus actives
au dernier trimestre, gagnant au passage une plus grande
place parmi les menaces observées. Dans l'ensemble,
davantage de familles de crypto-ransomware ont été plus
actives en 2015 qu'en 2014.
KITS D'EXPLOITATION
Angler Nuclear Magnitude Fiesta
Alpha Crypt CryptoWall CryptoWall CryptoWall
CryptoWall CTB-Locker
Reveton TeslaCrypt
TeslaCrypt Troldesh
CONTENU DE RANSOMWARE DIFFUSÉ
PAR LES PRINCIPAUX KITS D'EXPLOITATION
DÉTECTIONS DE RANSOMWARE DE 2014 À 2015
Browlock
CTB-Locker
Reveton
Urausy
CryptoWall
Crowti
TeslaCrypt
2014
2015
POURCENTAGE DU TOTAL ANNUEL DES DÉTECTIONS
DE MALWARE SIGNALÉES
0,4
0,1
0,006
0,003
0,001
0,001
0,001
0,01
0,02
0,06
0,0002
CONTENU
MALVEILLANT
L'infection est la phase de la chaîne de contamination au cours de laquelle le contenu
injectéexécuteuncodemalveillant.Unefoisqu'unsystèmeesttouché,lespiratessont
libres d'y installer (ou « injecter ») un contenu qui exécute en général une espèce de
code malveillant produisant des effets indésirables. Ce contenu malveillant comprend
des malware du type ransomware, bot, virus ou cheval de Troie.
INFECTION
L'ascensiondescrypto-ransomware
Flash étant utilisé sur plusieurs plateformes, ses
vulnérabilités constituent des cibles de choix
pour les développeurs de kits d'exploitation
Bien que le nombre de ransomware « Gendarmerie » ait
diminué en 2015, plusieurs familles de crypto-ransomware
ont fait des adeptes, d'où la présence globalement stable
de ce type de menace.
3332
45+20+9+6+3+17+D
33+17+16+13+12+9+D
Si les piratages DNS prennent diverses formes selon leur cible
(par exemple, celui d'une grande société est différent de
celui d'un particulier ou d'une microentreprise), ils affichent
tous le même but : altérer la configuration des systèmes de
noms de domaine (DNS – Domain Name System) chez leurs
victimes afin de surveiller ou détourner le trafic Internet. Ce
type d'attaque est facilité par plusieurs failles de sécurité,
notamment la faiblesse des mots de passe, les vulnérabilités
logicielles et les malware. Les piratages DNS s'avèrent efficaces
pour attaquer en masse les cibles potentielles puisqu'ils
permettent de contaminer tous les périphériques connectés
à un réseau.
Cette menace, fréquente à l'heure actuelle, a enregistré un
pic d'activité significatif au printemps et à l'été 2015, plus
précisément d'avril à août. Les attaques menées durant cette
période ont modifié la configuration DNS par défaut de leurs
cibles en vue de détourner le trafic Internet. Les piratages DNS
observés en 2015 étaient concentrés en Italie et en Pologne,
et dans une moindre mesure en Égypte, en Suède et en Inde.
Leurs auteurs ont le plus souvent redirigé le trafic Internet
vers des adresses IP malveillantes qui injectaient le malware
Kelihos dans les périphériques infectés. Kelihos est un botnet
prépondérant qui sert à envoyer du courrier indésirable et
lancer des attaques DDoS. Il est également capable de voler
des informations, dont des données de connexion. Les
chevaux de Troie Fareit, Pkybot et Zbot ainsi que le malware
Asprox – lié au botnet du même nom – formaient également
une grande partie des autres types de contenu malveillant
diffusé lors des piratages DNS en 2015.
L'altération des paramètres DNS n'était que la fin justifiant
les moyens : comme de nombreuses attaques modernes, les
piratages DNS ne sont pas cantonnés à une seule phase de la
chaîne de contamination. Dans quasiment la moitié (48 %) des
cas détectés, ils ont en effet servi à instaurer des botnets. Par
ailleurs, Pkybot et Fareit agissent à la fois comme des voleurs
d'informations et comme des téléchargeurs, qui injectent du
contenu malveillant supplémentaire après l'infection initiale.
Ainsi, dans une écrasante majorité des cas (77 %), les pirates
ont tenté d'obtenir un accès persistant aux systèmes touchés
afin de pouvoir s'y immiscer davantage pour déclencher
de nouvelles infections ou instaurer une contamination
permanente. Par conséquent, les internautes devraient
considérer les piratages DNS comme de possibles menaces
persistantes pour leurs appareils et leurs réseaux, que les cyber
criminels peuvent utiliser longtemps à diverses fins.
AUTRES
33
ITALIE
17
POLOGNE
16
SUÈDE
12
ÉGYPTE
13
INDE
9
PRINCIPAUX
PAYS
TOUCHÉS (%)
AUTRES
17
KELIHOS
45
FAREIT
20
PKYBOT
9
ZBOT
6
ASPROX
3
PRINCIPALES
MENACES
AVEC
ROUTEURS DNS
PIRATÉS (%)
L'invasion est l'ultime phase de la chaîne de contamination. Au cours de cette
phase, l'infection initiale persiste jusqu'à ce que la victime prenne des mesures pour
contrer l'attaque ou bien s'intensifie afin de contaminer davantage son système ou
son réseau. La méthode d'intensification employée dépend des caractéristiques de
l'attaque, mais deux grands axes se dégagent aujourd'hui : l'infiltration et l'infestation.
Avec l'approche «  infiltration  », les pirates peuvent s'immiscer davantage dans le
système touché, ce qui leur permet de planifier d'autres attaques ou de prolonger les
effets de la première en provoquant une contamination persistante.
INVASION : INFILTRATION
Piratage DNS en 2015 : des bots,
des téléchargeurs et des voleurs
d'informations
0
5
10
15
20
25
30
DECJUNJAN
INFECTIONS PAR PIRATAGE DNS (2015)
%
MOIS
30
25
20
15
10
5
0
JANV JUIN DÉC
Les piratages DNS ont enregistré un
pic d'activité d'avril à août 2015.
Des chercheurs ont déjà remarqué que les campagnes de
crypto-ransomware disposent d'une infrastructure qui
incite leurs cibles à verser la rançon et leur fournit ensuite
automatiquement les clés de déchiffrage nécessaires [1]
.
De leur côté, les auteurs de campagnes de ransomware
« Gendarmerie » tendent à se contenter de toucher la rançon
sansaiderlesinternautesàsedébarrasserdeleursinfections[2]
.
Étantdonnéquelesauteursd'attaquesparcrypto-ransomware
aident souvent leurs victimes pour s'assurer qu'elles les
paieront, et que le montant demandé est relativement
raisonnable, le FBI recommande aux entreprises touchées de
verser tout simplement la rançon [3]
. En 2015, plusieurs services
de police américains ont suivi ce conseil et payé chacun des
centaines de dollars à des extorqueurs en ligne afin de libérer
leurs systèmes de l'emprise de ransomware  [4]
. Ce genre
d'exemple souligne aussi bien l'efficacité des ransomware
en tant qu'outils d'extorsion que l'importance de contrer les
attaques en amont de la phase d'infection.
POURCENTAGEDUTOTALDESDÉTECTIONSDE
MALWARESIGNALÉES(2015)
JANV FÉV OCTSEPAOUJUILJUINMAIAVRMARS NOV DEC
PRINCIPALES DÉTECTIONS DE RANSOMWARE EN 2015
Janv 2015
Browlock : 0,103 %
Crowti
CryptoWall
Urausy
Reveton
TeslaCrypt
CTB-Locker
0,002
0,004
0,006
0,008
0,010
0,012
0,014
0,016
0,018
 Sources répertoriées à la page 39.
CryptoWall a été la famille de ransomware la plus
souvent détectée sur la majorité de l'année 2015.
MOIS (2015)
AFFICHAGE DE DEMANDES DE RANÇON
Demandes de rançons affichées par le ransomware « Gendarmerie » Browlock
(à gauche) et le crypto-ransomware CryptoWall (à droite)
3534
En 2015, Downadup s'est maintenu au rang de type de
malware le plus fréquemment détecté. Ce ver, découvert en
2008, est aujourd'hui reconnu comme l'une des infections
informatiques les plus répandues. Downadup s'en prend aux
systèmes Windows non corrigés (dont plusieurs versions de
Windows Server), d'où il se propage aux réseaux vulnérables
connexes.
Depuis ses débuts en 2008, Downadup a infecté des millions
d'ordinateurs et causé des perturbations considérables
pendant que les entreprises ciblées s'efforçaient de le
combattre [1]
. À un moment, Microsoft offrait une récompense
de 250 000 dollars (soit plus de 220 000 euros) pour toute
information conduisant à la condamnation de ses créateurs [2]
.
Combinant différentes tactiques, Downadup se révélait plus
perfectionné que tous les autres vers informatiques connus
des chercheurs à l'époque, d'où son inclusion parmi les
familles de malware les plus invasives jamais recensées.
Downadup reste une famille de malware prépondérante à
ce jour. C'est d'ailleurs la plus fréquemment détectée en
Allemagne, en Finlande, en France, en Inde, en Italie et en
Norvège. Bien qu'il existe de nombreux antivirus capables de
repérer et d'éradiquer ce ver chez les particuliers, il demeure
compliqué de le supprimer de réseaux plus étendus tels
que ceux des opérateurs de télécommunications ou des
multinationales.
L'invasion est l'ultime phase de la chaîne de contamination. Au cours de cette
phase, l'infection initiale persiste jusqu'à ce que la victime prenne des mesures pour
contrer l'attaque ou bien s'intensifie afin de contaminer davantage son système ou
son réseau. La méthode d'intensification employée dépend des caractéristiques de
l'attaque, mais deux grands axes se dégagent aujourd'hui : l'infiltration et l'infestation.
L'infestation est ce qui se passe lorsqu'une attaque parvient à se propager au-delà d'un
périphérique ou système touché, s'étendant à tout un réseau.
INVASION : INFESTATION
Downadup pourrait-il se refaire une santé grâce à l'Internet des objets ?
Sans compter que, bien qu'il ne soit plus tout jeune,
Downadup a trouvé de nouveaux supports de propagation.
Ainsi, il a été repéré en novembre 2015 dans plusieurs
caméras portatives fabriquées spécialement pour des forces
de police américaines  [3]
. De nombreux appareils relevant
de l'Internet des objets (IdO), dont les caméras portatives,
sont incompatibles avec les antivirus traditionnels. Si ces
périphériques non sécurisés prolifèrent, il est donc tout à fait
possible que des menaces du genre de Downadup connaissent
un regain d'activité.
?
Les malware continuent à se démocratiser et les plateformes de malware-as-
a-service, de mieux en mieux organisées, ne cessent de se perfectionner. Il
est facile d'acheter en ligne des campagnes clé en main personnalisées. Une
fois qu'elles sont lancées, des botnets distribuent du courrier indésirable qui
déclenche des infections. Le contenu malveillant injecté communique alors
les informations recueillies à une infrastructure dorsale gérée qui fait partie
intégrante du service fourni. Nous avons même observé la réalisation de
tests bêta avant le lancement effectif d'une campagne. Bien qu'elles aient
essentiellement pour objet de générer des gains financiers, ces campagnes
de malware-as-a-service servent parfois à d'autres fins malveillantes telles
que voler des données ou vouer des internautes à la honte publique. En
comparaison des coûts qu'elle occasionne pour chacun des particuliers et
entreprises concernés, une campagne de malware s'avère incroyablement
économique.
Nous constatons toujours une montée en flèche des ransomware, une
tendancequidevraitsepoursuivretoutaulongdel'année2016.Nonseulement
les campagnes de ransomware gagnent en structure et en perfectionnement,
mais les malware eux-mêmes se font plus retors. Les crypto-ransomware
comptent parmi les logiciels les plus destructeurs repérés des derniers temps.
Leur méthode consiste à chiffrer en bloc les fichiers stockés sur une machine,
en donnant pour seul recours à la victime de payer ses assaillants pour
obtenir une clé de déchiffrage. Récemment, ce type de malware est devenu
le cauchemar des entreprises en parvenant à chiffrer des fichiers partagés
sur des réseaux non assignés. Le montant de la rançon exigée peut dépasser
400 dollars (soit plus de 350 euros) par système infecté.
Nous nous attendons à ce que les APT renforcent encore leur présence en
2016. Les groupes organisés (par exemple, des États-nations, pirates militants,
prestataires de services de sabotage et d'espionnage industriel et autres
cyber criminels) s'intéressent aux sociétés et aux organes gouvernementaux
dans le but de générer des gains financiers, voler leurs données, perturber
leurs activités et ternir leur réputation. À l'inverse des criminalware, qui s'en
prennent sans distinction à tous les systèmes à leur portée, les APT sont très
ciblées et difficiles à détecter avec les moyens traditionnels. Pour contrer
de telles menaces, il faut une stratégie de cyber sécurité nettement plus
développée.
LesransomwareetlesAPTseretrouventàlaunedel'actualitéquasimenttoutes
les semaines, dans des articles qui s'étendent désormais à d'autres supports
quelesseulssitesspécialisés.Àl'heureoùlesconsciencess'éveillentàlaréalité
de la cyber criminalité et de la cyber guerre, les autorités gouvernementales se
hâtentderédigerdenouvellesréglementationsquifournirontassurémentdes
lignes directrices aux entreprises. L'année à venir s'annonce par ailleurs riche
en débats publics autour du chiffrement et de l'accès aux données à caractère
personnel, deux sujets concernant tous les propriétaires d'ordinateurs et
de smartphones. Pour couronner le tout, l'Internet des objets continuera à
s'étendre et pourrait bien peser dans les débats ouverts en matière de cyber
sécurité.
ANDY PATEL
Technology Outreach
@r0zetta
CONCLUSION
« À L'HEURE OÙ
LES CONSCIENCES
S'ÉVEILLENT À LA
RÉALITÉ DE LA
CYBER CRIMINALITÉ
ET DE LA CYBER
GUERRE, LES
AUTORITÉS
GOUVERNE­
MENTALES SE
HÂTENT […] »
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure

Contenu connexe

Tendances

Webinar ATN+ symantec
Webinar ATN+  symantecWebinar ATN+  symantec
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
Abdeljalil AGNAOU
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
NRC
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
OPcyberland
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
NRC
 
Panorama Cybersécurité 2020
Panorama Cybersécurité 2020Panorama Cybersécurité 2020
Panorama Cybersécurité 2020
OPcyberland
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
ColloqueRISQ
 
PRISM: les règles élémentaires de prudence pour nos entreprises
PRISM: les règles élémentaires de prudence pour nos entreprisesPRISM: les règles élémentaires de prudence pour nos entreprises
PRISM: les règles élémentaires de prudence pour nos entreprises
VINCIT SPRL - STRATEGY
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
Symantec
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
Commonwealth Telecommunications Organisation
 
Cles118 - Géopolitique de l’Internet | Quel "secret d'État" dans le cyberespace?
Cles118 - Géopolitique de l’Internet | Quel "secret d'État" dans le cyberespace?Cles118 - Géopolitique de l’Internet | Quel "secret d'État" dans le cyberespace?
Cles118 - Géopolitique de l’Internet | Quel "secret d'État" dans le cyberespace?
Jean-François Fiorina
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
OPcyberland
 
Colloque IA DEFENSE - CREC SAINT-CYR - 30 janvier 2019
Colloque IA DEFENSE - CREC SAINT-CYR - 30 janvier 2019Colloque IA DEFENSE - CREC SAINT-CYR - 30 janvier 2019
Colloque IA DEFENSE - CREC SAINT-CYR - 30 janvier 2019
OPcyberland
 
La Guerre information
La Guerre informationLa Guerre information
La Guerre information
Christophe Casalegno
 
Espionnage Sur Le Net 2005 2
Espionnage Sur Le Net 2005 2Espionnage Sur Le Net 2005 2
2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle
Personal Interactor
 
Ia et cybersecurite - conférence 3IL
Ia et cybersecurite - conférence 3ILIa et cybersecurite - conférence 3IL
Ia et cybersecurite - conférence 3IL
OPcyberland
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
Technologia Formation
 
Focus sur la Cybersécurité informatique avec Arrowsoft
Focus sur la Cybersécurité informatique avec ArrowsoftFocus sur la Cybersécurité informatique avec Arrowsoft
Focus sur la Cybersécurité informatique avec Arrowsoft
polenumerique33
 

Tendances (20)

Webinar ATN+ symantec
Webinar ATN+  symantecWebinar ATN+  symantec
Webinar ATN+ symantec
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Panorama Cybersécurité 2020
Panorama Cybersécurité 2020Panorama Cybersécurité 2020
Panorama Cybersécurité 2020
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
 
PRISM: les règles élémentaires de prudence pour nos entreprises
PRISM: les règles élémentaires de prudence pour nos entreprisesPRISM: les règles élémentaires de prudence pour nos entreprises
PRISM: les règles élémentaires de prudence pour nos entreprises
 
Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
 
Cles118 - Géopolitique de l’Internet | Quel "secret d'État" dans le cyberespace?
Cles118 - Géopolitique de l’Internet | Quel "secret d'État" dans le cyberespace?Cles118 - Géopolitique de l’Internet | Quel "secret d'État" dans le cyberespace?
Cles118 - Géopolitique de l’Internet | Quel "secret d'État" dans le cyberespace?
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
 
Colloque IA DEFENSE - CREC SAINT-CYR - 30 janvier 2019
Colloque IA DEFENSE - CREC SAINT-CYR - 30 janvier 2019Colloque IA DEFENSE - CREC SAINT-CYR - 30 janvier 2019
Colloque IA DEFENSE - CREC SAINT-CYR - 30 janvier 2019
 
La Guerre information
La Guerre informationLa Guerre information
La Guerre information
 
Espionnage Sur Le Net 2005 2
Espionnage Sur Le Net 2005 2Espionnage Sur Le Net 2005 2
Espionnage Sur Le Net 2005 2
 
2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle
 
Ia et cybersecurite - conférence 3IL
Ia et cybersecurite - conférence 3ILIa et cybersecurite - conférence 3IL
Ia et cybersecurite - conférence 3IL
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Focus sur la Cybersécurité informatique avec Arrowsoft
Focus sur la Cybersécurité informatique avec ArrowsoftFocus sur la Cybersécurité informatique avec Arrowsoft
Focus sur la Cybersécurité informatique avec Arrowsoft
 

En vedette

Cyber security-report-2017
Cyber security-report-2017Cyber security-report-2017
Cyber security-report-2017
NRC
 
F-Secure Business Suite
F-Secure Business SuiteF-Secure Business Suite
F-Secure Business Suite
NRC
 
Recruter pour préparer l'avenir
Recruter pour préparer l'avenirRecruter pour préparer l'avenir
Recruter pour préparer l'avenir
NRC
 
Livre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - SageLivre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - Sage
NRC
 
Stormshield Visibility Center
Stormshield Visibility CenterStormshield Visibility Center
Stormshield Visibility Center
NRC
 
How to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & TricksHow to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & Tricks
SlideShare
 
Getting Started With SlideShare
Getting Started With SlideShareGetting Started With SlideShare
Getting Started With SlideShare
SlideShare
 

En vedette (7)

Cyber security-report-2017
Cyber security-report-2017Cyber security-report-2017
Cyber security-report-2017
 
F-Secure Business Suite
F-Secure Business SuiteF-Secure Business Suite
F-Secure Business Suite
 
Recruter pour préparer l'avenir
Recruter pour préparer l'avenirRecruter pour préparer l'avenir
Recruter pour préparer l'avenir
 
Livre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - SageLivre blanc Mobilité et nouveaux usages - Sage
Livre blanc Mobilité et nouveaux usages - Sage
 
Stormshield Visibility Center
Stormshield Visibility CenterStormshield Visibility Center
Stormshield Visibility Center
 
How to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & TricksHow to Make Awesome SlideShares: Tips & Tricks
How to Make Awesome SlideShares: Tips & Tricks
 
Getting Started With SlideShare
Getting Started With SlideShareGetting Started With SlideShare
Getting Started With SlideShare
 

Similaire à Rapport des menaces en 2015 par F-Secure

Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numérique
OPcyberland
 
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote   IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueAristote   IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
OPcyberland
 
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
WarRam
 
Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012
François Sopin, CISSP
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
Jean-Michel Tyszka
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
ITrust - Cybersecurity as a Service
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
ITrust - Cybersecurity as a Service
 
Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016
Blandine Delaporte
 
la sécurité informatique
la sécurité informatique la sécurité informatique
la sécurité informatique Mohamed Aguezzar
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
SchadracMoualou
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
Maxime ALAY-EDDINE
 
Rapport Threat Intelligence Check Point du 4 juillet 2016
Rapport Threat Intelligence Check Point du 4 juillet 2016Rapport Threat Intelligence Check Point du 4 juillet 2016
Rapport Threat Intelligence Check Point du 4 juillet 2016
Blandine Delaporte
 
Ihedn menace cyber
Ihedn menace cyberIhedn menace cyber
Ihedn menace cyber
OPcyberland
 
Rapport Threat Intelligence Check Point du 4 avril 2016
Rapport Threat Intelligence Check Point du 4 avril 2016Rapport Threat Intelligence Check Point du 4 avril 2016
Rapport Threat Intelligence Check Point du 4 avril 2016
Blandine Delaporte
 
Jeu d’espions - le NSA s’est fait pirater
Jeu d’espions - le NSA s’est fait piraterJeu d’espions - le NSA s’est fait pirater
Jeu d’espions - le NSA s’est fait pirater
ITrust - Cybersecurity as a Service
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
Christophe-Alexandre PAILLARD
 
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securiteInternet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
CITC-EuraRFID
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
COMPETITIC
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
ITrust - Cybersecurity as a Service
 

Similaire à Rapport des menaces en 2015 par F-Secure (20)

Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numérique
 
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote   IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueAristote   IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
 
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
 
Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012Adacis clusira cybercriminalité_2012
Adacis clusira cybercriminalité_2012
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
 
Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016
 
la sécurité informatique
la sécurité informatique la sécurité informatique
la sécurité informatique
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Rapport Threat Intelligence Check Point du 4 juillet 2016
Rapport Threat Intelligence Check Point du 4 juillet 2016Rapport Threat Intelligence Check Point du 4 juillet 2016
Rapport Threat Intelligence Check Point du 4 juillet 2016
 
Ihedn menace cyber
Ihedn menace cyberIhedn menace cyber
Ihedn menace cyber
 
Rapport Threat Intelligence Check Point du 4 avril 2016
Rapport Threat Intelligence Check Point du 4 avril 2016Rapport Threat Intelligence Check Point du 4 avril 2016
Rapport Threat Intelligence Check Point du 4 avril 2016
 
Jeu d’espions - le NSA s’est fait pirater
Jeu d’espions - le NSA s’est fait piraterJeu d’espions - le NSA s’est fait pirater
Jeu d’espions - le NSA s’est fait pirater
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securiteInternet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
Internet des-objets-sans-contact-smart-citc-eurarfid-note-2015-securite
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 

Plus de NRC

Guide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerceGuide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerce
NRC
 
Le guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de productionLe guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de production
NRC
 
La business intelligence au service de la production
La business intelligence au service de la productionLa business intelligence au service de la production
La business intelligence au service de la production
NRC
 
Windows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensableWindows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensable
NRC
 
Tout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisationTout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisation
NRC
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
NRC
 
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-SecureRADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
NRC
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
NRC
 
Le guide pour gérer sa trésorie
Le guide pour gérer sa trésorieLe guide pour gérer sa trésorie
Le guide pour gérer sa trésorie
NRC
 
L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !
NRC
 
Les avantages et bénéfices du CRM
Les avantages et bénéfices du CRMLes avantages et bénéfices du CRM
Les avantages et bénéfices du CRM
NRC
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
NRC
 
5 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 20125 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 2012
NRC
 
Des systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefenseDes systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefense
NRC
 
9 conseil pour enrichir vos bases de données
9 conseil pour enrichir vos bases de données9 conseil pour enrichir vos bases de données
9 conseil pour enrichir vos bases de données
NRC
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloud
NRC
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
NRC
 
L'interêt d'une solution ERP pour votre entreprise
L'interêt d'une solution ERP pour votre entrepriseL'interêt d'une solution ERP pour votre entreprise
L'interêt d'une solution ERP pour votre entreprise
NRC
 
Enjeux et tendances de la dématérialisation
Enjeux et tendances de la dématérialisation Enjeux et tendances de la dématérialisation
Enjeux et tendances de la dématérialisation
NRC
 
Quel cloud pour les entreprises en 2015 ?
Quel cloud pour les entreprises en 2015 ?Quel cloud pour les entreprises en 2015 ?
Quel cloud pour les entreprises en 2015 ?
NRC
 

Plus de NRC (20)

Guide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerceGuide oxatis - Les recettes pour réussir dans le e-commerce
Guide oxatis - Les recettes pour réussir dans le e-commerce
 
Le guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de productionLe guide pratique pour optimiser votre ligne de production
Le guide pratique pour optimiser votre ligne de production
 
La business intelligence au service de la production
La business intelligence au service de la productionLa business intelligence au service de la production
La business intelligence au service de la production
 
Windows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensableWindows Server 2016, le système d'exploitation orienté cloud indispensable
Windows Server 2016, le système d'exploitation orienté cloud indispensable
 
Tout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisationTout comprendre sur la dématérialisation
Tout comprendre sur la dématérialisation
 
F-Secure Protection Services for Business
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
 
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-SecureRADAR - Le nouveau scanner de vulnérabilité par F-Secure
RADAR - Le nouveau scanner de vulnérabilité par F-Secure
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
Le guide pour gérer sa trésorie
Le guide pour gérer sa trésorieLe guide pour gérer sa trésorie
Le guide pour gérer sa trésorie
 
L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !L'antispam n'est pas un figurant !
L'antispam n'est pas un figurant !
 
Les avantages et bénéfices du CRM
Les avantages et bénéfices du CRMLes avantages et bénéfices du CRM
Les avantages et bénéfices du CRM
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
5 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 20125 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 2012
 
Des systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefenseDes systèmes critiques au coeur des enjeux de cyberdefense
Des systèmes critiques au coeur des enjeux de cyberdefense
 
9 conseil pour enrichir vos bases de données
9 conseil pour enrichir vos bases de données9 conseil pour enrichir vos bases de données
9 conseil pour enrichir vos bases de données
 
Bonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloudBonnes pratiques de sécurité pour votre cloud
Bonnes pratiques de sécurité pour votre cloud
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
L'interêt d'une solution ERP pour votre entreprise
L'interêt d'une solution ERP pour votre entrepriseL'interêt d'une solution ERP pour votre entreprise
L'interêt d'une solution ERP pour votre entreprise
 
Enjeux et tendances de la dématérialisation
Enjeux et tendances de la dématérialisation Enjeux et tendances de la dématérialisation
Enjeux et tendances de la dématérialisation
 
Quel cloud pour les entreprises en 2015 ?
Quel cloud pour les entreprises en 2015 ?Quel cloud pour les entreprises en 2015 ?
Quel cloud pour les entreprises en 2015 ?
 

Rapport des menaces en 2015 par F-Secure

  • 2. 0302 RÉSUMÉ INCEPTION INTRUSION INFECTION INVASION EFFRACTION DANS LE JARDIN CLOS Fin 2015, l'App Store d'Apple a été victime d'une série d'incidents dus à l'utilisation d'outils infectés par des développeurs, créateurs malgré eux d'applications malveillantes. Passant outre le contrôle d'Apple, elles se sont immiscées dans sa plateforme et, de là, dans les périphériques iOS d'internautes. PRÉSENTATION DES DUKES Les membres des Dukes forment un groupe de cyber espionnage hautement spécialisé, extrêmement bien organisé et doté de nombreuses ressources. Ils travailleraient pour la Fédération de Russie depuis au moins 2008 dans le but de recueillir des renseignements permettant d'influer sur les décisions prises en matière de politiques de sécurité et d'affaires étrangères. CHAÎNE DE CONTAMINATION Étapes 2015 EN BREF Voici quelques-uns des événements majeurs de l'année en matière de cyber sécurité. 15/02 : Démantèlement du botnet Ramnit par Europol 15/07 : Fermeture du forum de piratage Darkode par le FBI POURSUITES 15/07 : Piratage de Hacking Team, divulgation de données en ligne 15/09 : Début du nettoyage de l'App Store pour éradiquer XcodeGhost ATTAQUES 15/07 : Rappels Ford, Range Rover, Prius et Chrysler pour cause de bug 15/07 : Signalement de la faille Android Stagefright VULNÉRABILITÉS 15/08 : Google corrige la faille de sécurité Android Stagefright 15/08 : Amazon et Chrome abandonnent les pubs Flash SÉCURITÉDES PRODUITS 08 2018 28 Njw0rm Gamarue Angler Dorkbot Kilim Nuclear Ippedo Dridex WormLink PRINCIPALES FAMILLES DE MALWARE Njw0rm a été la nouvelle famille de malware prédominante en 2015. 12 MENACES PAR ZONE GÉOGRAPHIQUE L'Europe a été particulièrement touchée par le kit d'exploitation Angler. De plus, elle a fréquemment été la cible de Trojan:JS/Redirector ainsi que d'attaques par fichiers contenant des macros qui téléchargent des ransomware. 15 CHAÎNE DE CONTAMINATION La chaîne de contamination est un modèle axé sur les utilisateurs qui illustre les combinaisons de tactiques et de ressources utilisées pour infecter leurs périphériques et leurs réseaux. Il comporte quatre grandes étapes : inception, intrusion, infection et invasion. 23 Les redirecteurs sèment la panique aux USA et dans l'UE (p. 28) AnglerEK domine Flash (p. 29) L'ascension des crypto-ransomware (p. 31) Downadup pourrait-il se refaire une santé grâce à l'Internet des objets ? (p. 34) Piratage DNS en 2015 : des botnets, des téléchargeurs et des voleurs d'informations (p. 33) Cerapportdécritendétaill'éventaildescybermenacesauxquellesparticuliers et entreprises sont confrontés. En nous fondant sur des sources de 2015, nous exposons ici nos remarques concernant les cas connus de malware détectés par les systèmes de renseignement anti-menace. Nous identifions par ailleurs plusieurs évolutions et tendances clés dans ce domaine. Ce rapport introduit la « chaîne de contamination », un concept analytique permettant d'aider les lecteurs, en particulier ceux qui travaillent dans le domaine de la cyber sécurité et des technologies de l'information, à cerner les combinaisons de tactiques et de ressources des pirates. Ce modèle a été appliquéàcertainesdesmenaceslespluscourantesen2015(kitsd'exploitation, ransomware et piratages DNS, entre autres) afin d'illustrer comment les cyber criminels compromettent la sécurité des internautes. Ce rapport contient également des éléments clés concernant le penchant actuel des pirates pour les vers, les exploits et les macro-malware, mais aussi le recours croissant aux crypto-ransomware par les racketteurs en ligne ainsi que l'utilisation et l'efficacité grandissantes des kits d'exploitation visant les vulnérabilités Flash. De plus, il souligne l'importance des divers incidents de cybersécuritésurvenusen2015,notammentladécouvertedubugXcodeGhost dans l'App Store d'Apple et le démasquage des Dukes, un groupe de menaces avancées persistantes. Sans oublier certains signes laissant penser que la rencontre entre géopolitique et cyber sécurité ouvre la voie à une course au cyber armement. Les informations fournies sur les menaces observées à l'échelle mondiale sont étayées par des statistiques détaillées par pays et zones géographiques pour les plus courantes d'entre elles. Il en ressort clairement que, si le monde entier est connecté via Internet, les pirates sont à même de développer et distribuer des ressources leur permettant de cibler plus efficacement leurs victimes parmi les particuliers et les entreprises. SYNTHÈSE Auteurs Edilberto Cajucom Laboratoire • Patricia Dacuno Threat Intelligence, Laboratoire • Karmina Aquino • Threat Intelligence, Laboratoire • Broderick Aquilino Malware Protection, Laboratoire • Alia Hilyati Antimalware Unit • Sarah Jamaludin Antimalware Unit • Adam Pilkey Global Communications & Brand • Melissa Michael Global Communications & Brand Contributeurs Mikko Hypponen Laboratoire • Sean Sullivan Security Advisor • Andy Patel Technology Outreach • Zimry Ong Malware Protection, Laboratoire • Artturi Lehtiö Threat Intelligence, Laboratoire • Janne Kauhanen Cyber Security Services • Dariusz Jastrzebski Cyber Security Services
  • 3. 0504 Avant, les conflits survenaient pour une question de frontières. Il y a bien longtemps, nous érigions des remparts autour de nos villes pour nous défendre. Ils nous protégeaient de nos ennemis. Au fil du temps, ces remparts sont devenus plus hauts, plus longs, plus larges. Or, plus ils s'allongeaient et s'élargissaient, plus ils se faisaient invisibles autour des zones de richesse, de prospérité, de puissance et de croyance qu'ils délimitaient. Finalement, ces remparts sont devenus des frontières qui sont restées l'objet de tous les conflits pendant des siècles. L'époque était alors aux désirs de conquêtes territoriales et de conversion religieuse des populations. Les guerres et autres conflits ont toujours été alimentés par les technologies, comme celles de la poudre, des lames en acier et des avions de chasse. Ce sont immanquablement ces incroyables possibilités technologiques qui se distinguent le plus durant ces périodes sombres. La guerre a toujours été un moteur de développement technologique, et inversement. C'estainsiquelaguerrefroideaproduituneffetcollatéral :Internet.Cherchant à maintenir une chaîne de commandement en cas de guerre nucléaire, l'armée américaine a conçu Internet dans ce but, comme une infrastructure militaire. En développant Internet, l'humanité a ouvert la voie à une toute nouvelle façon de se faire la guerre. Qui plus est, Internet n'est pas une zone géographique et ne connaît pas de frontières. Cette création a ouvert la boîte de Pandore dans un environnement dépourvu de délimitations tangibles, sans ennemis identifiables. Par ailleurs, les anciens conflits étaient de nature symétrique, armée contre armée. Aujourd'hui, la technologie guerrière a évolué. Nous ne savons plus qui sont nos ennemis ou ne sommes plus en mesure de les décrire ni d'identifier leurs objectifs et leurs motivations. Nous nous lançons dans une bataille, armés de technologies que nous ne maîtrisons pas complètement, contre des ennemis tapis dans l'ombre… et l'issue reste insondable. Contre qui nous battons-nous  ? Des pirates  ? Le collectif Anonymous  ? La mafia russe  ? La Corée du Nord ? Les conflits sur Internet sont complexes. La seule chose dont nous pouvons être sûrs, c'est que nous assistons au début d'une nouvelle course à l'armement : une course au cyber armement. MIKKO HYPPÖNEN Chief Research Officer @mikko AVANT-PROPOS « NOUS NOUS LANÇONS DANS UNE BATAILLE, ARMÉS DE TECHNOLOGIES QUE NOUS NE MAÎTRISONS PAS COMPLÈTEMENT, CONTRE DES ENNEMIS TAPIS DANS L'OMBRE » TABLE DES MATIÈRES 02RÉTROSPECTIVE 01GÉNÉRALITÉS 02 Résumé 03 Synthèse 04 Avant-propos 05 Table des matières 06 À noter 35 Conclusion 36 Sources 40 Annexe 40 Rapports nationaux 47 Descriptions des menaces 08 2015 en bref 10 Résumé des menaces 10 Malware par type 11 Pays qui en signalent le plus 12 Principales menaces 12 Principales familles de malware 12 Tendances des principales familles 13 Principaux génériques et familles héritées 13 Tendances des principaux génériques et familles héritées 14 Malware Mac 14 Malware Android 15 Menaces par zone géographique 03ÉTUDES DE CAS 18 Effraction dans le jardin clos 20 Présentation des Dukes 04CHAÎNE DE CONTAMINATION 23 Un modèle axé sur les utilisateurs 24 Étape par étape 25 Principales menaces par étape 26 Njw0rm 27 CosmicDuke 28 Étapes 28 Inception 29 Intrusion 31 Infection 33 Invasion : Infiltration 34 Invasion : Infestation
  • 4. 06 Flash : Le dernier des maillons faibles Les exploits malveillants sont monnaie courante depuis plus de 10  ans. Tant et si bien qu'en 2006 les analystes de l'Institut InfoSec ont commencé à appeler plaisamment «  Exploit Wednesday  » le lendemain du «  Patch Tuesday  » de Microsoft. Tout reposait sur la réactivité. Le mardi, Microsoft livrait ses mises à jour, que les pirates disséquaient rapidement dans la foulée pour en identifier les vulnérabilités sous-jacentes. Armés de ces informations, ils créaient alors un exploit à intégrer à leurs malware visant les internautes qui n'avaient pas encore mis leur système à jour. Fin 2006, les malware se sont encore plus démocratisés avec l'arrivée des kits malveillants. Les premiers de ces kits, comme MPack, furent victimes de leur succès : pas assez évolutifs, ils furent en effet incapables de satisfaire une demande en constante augmentation. Toutefois, les services malveillants ont bien vite pris la relève et les marchés noirs du web proposent maintenant de nombreux kits d'exploitation. Aujourd'hui, fini l'« Exploit Wednesday ». Le logiciel Microsoft [1] est nettement plus sûr qu'il y a 10 ans et s'accompagne d'un déploiement accéléré des correctifs. C'est désormais Adobe que les kits d'exploitation prennent pour cible. Le programme Reader en a particulièrement fait les frais un certain temps (Flash aussi), avant de devenir quasi superflu avec l'avènement de la prise en charge des PDF en natif dans plusieurs navigateurs. Adobe a alors adopté des cycles de mise à jour stricts qui ont mis Reader à l'abri un moment. Le plug-in pour navigateur Java, maillon faible de la chaîne, est ensuite devenu la cible privilégiée des attaques. Les développeurs l'ont alors plus ou moins restreint à de très rares utilisations. Donc, à présent… le lecteur Flash d'Adobe est le dernier plug-in offrant la meilleure prise aux kits d'exploitation. Mais pour combien de temps ? Le 29 avril 2010, Steve Jobs a publié une lettre ouverte intitulée Thoughts on Flash (Pensées sur Flash) expliquant pourquoi Apple ne voulait pas de Flash sur ses périphériques iOS. Selon de nombreux analystes technologiques, cet événement a signé le début de la fin pour Flash Player, au moins sur les appareils mobiles. C'est désormais avéré. Le 28 juin 2012, Adobe a annoncé que la certification Flash Player ne serait pas disponible sur l'Android 4.1 et qu'il limiterait ses installations via Google Play à partir du15 août 2012 [2] . Depuis,lelecteurFlashtientbonsurlemarchédesordinateursdebureau,maisilestcritiquédetoute part. Ainsi, en août 2015, Amazon a annoncé qu'il n'accepterait plus les publicités en Flash à compter du 1er  septembre 2015. Google a suivi le mouvement en février 2016. Dans cette optique, AdWords et DoubleClick,sesréseauxpublicitaires,n'afficherontplusdepublicitésenFlashàpartirdu30 juin2016. Elles y seront complètement désactivées à partir du 2 janvier 2017. Àcestade,j'avanceraisuneprévisionpourdébut2017 :dèsqu'ilpourrasepasserdeprendreencharge les publicités en Flash, le navigateur Google Chrome commencera à forcer les internautes à autoriser tous les sites nécessitant la technologie Flash et sera suivi de près par Mozilla Firefox et Microsoft Edge. Ainsi, d'ici le printemps 2017... Flash ne sera plus d'aucune utilité aux kits d'exploitation. Les kits d'exploitation ont un avenir chaotique devant eux, sans nouvelle cible prometteuse à l'horizon. Les services malveillants, toujours plus répandus, intensifieront leurs envois de pièces jointes, comme le macro-malware qui fait fureur actuellement. Si seulement nous perdions le réflexe de cliquer sur « OK » pour nous débarrasser des boîtes de dialogue… SEAN SULLIVAN Security Advisor @5ean5ullivan À NOTER 1 À l'exception de Silverlight, actuellement cible de kits d'exploitation. Heureusement, Silverlight devrait bientôt disparaître puisque Netflix s'en détourne. 2 Ironie du sort, bon nombre de malware s'insinuent dans les appareils Android par le biais de publicités trompeuses pour une mise à jour Flash obligatoire. Même en l'absence de lecteur Flash, l'habitude mène parfois à l'ingénierie sociale. Les chercheurs de Google ont commencé à configurer le navigateur Chrome de façon à signaler les sites affichant ce type de publicité. 07 02 RÉTROSPECTIVE 08 2015 en bref 10 Résumé des menaces 11 Pays qui en signalent le plus 11 Malware par type 12 Principales menaces 12 Principales familles de malware 12 Tendances des principales familles 13 Principaux génériques et familles héritées 13 Tendances des principaux génériques et familles héritées 14 Malware Mac 14 Malware Android 15 Menaces par zone géographique 07
  • 5. 2015 EN BREF MALWARE Août Google lance les mises à jour de sécurité Nexus mensuelles SÉCURITÉ DES PRODUITS VULNÉRABILITÉS Août Google corrige la faille de sécurité Android Stagefright SÉCURITÉ NUMÉRIQUE Octobre UE/USA : Invalidation de l'accord Safe Harbor Août USA : Sanctions prévues contre la Chine pour cyber vol Septembre Chine/USA : Entretien cyber sécurité avant la visite officielle Juillet Chine : Mise à jour des lois relatives au contrôle d'Internet Juillet Fermeture du forum de piratage Darkode par le FBI Février Démantèlement du botnet Ramnit par Europol ATTAQUES Juillet Signalement de la faille Android Stagefright Octobre Signalement de la faille Android Stagefright 2.0 Août Signalement de la faille Certifi-gate sur Android Mars Détection de la faille FREAK sur Android et Windows Septembre Signalement d'un exploit déjouant Gatekeeper sur Mac OS X Juillet Développement des outils de cyber criminalité des Dukes Mars Montée des ransomware Juillet Piratage de Hacking Team, divulgation de données en ligne INTERNATIONALPARTICULIERS Novembre USA : Fin des écoutes téléphoniques massives de la NSA Octobre USA - CISA : Adoption par le Sénat malgré des inquiétudes Décembre Chine : Inquiétudes au sujet de la loi antiterrorisme Octobre USA - DMCA : Davantage de produits de « piratage légal » POURSUITES Octobre USA : 4,5 ans de prison pour le créateur du botnet Citadel Octobre R-U/USA : Inculpation du créateur du botnet Dridex Octobre UE : Raids policiers liés au malware DroidJack Août Amazon et Chrome abandonnent les pubs Flash Octobre Chine : Arrestation de pirates sur requête des USA Octobre Perturbation de l'activité du kit d'exploitation Angler Septembre Malware Turla « en contact CC par satellite » Octobre Correction de plusieurs failles par les mises à jour Apple Décembre Signalement d'attaques DDoS sur des serveurs turcs Octobre Retrait de bloqueurs de pub dépassant les limites de l'App Store Septembre Identification de nouveaux outils des Dukes Août Démonstration de piratage d'une Corvette par des chercheurs Juillet Rappels Ford, Range Rover, Prius et Chrysler pour cause de bug Août Sortie du correctif antipiratage OTA pour la Tesla Model S Septembre Envoi postal Chrysler de clés USB avec correctif logiciel L'année 2015 s'est révélée mouvementée en matière de sécurité et de confidentialité en ligne. Voici quelques-uns des événements majeurs survenus qui influeront sur les interactions des internautes et leur rapport à la technologie. Nos sources sont répertoriées à la page 36.[ ] Septembre Début du nettoyage de l'App Store pour éradiquer XcodeGhost Septembre Attaque DDoS « lancée depuis des pubs sur mobile » VIEENLIGNE 0908
  • 6. 1110 RÉSUMÉ DES MENACES Si la typologie des menaces observées en 2015 reprenait plusieurs tendances relevées en 2014, elle affichait également des divergences significatives. La surprise est notamment venue du retour des macro-malware qui avaient disparu depuis le début des années 2000. Par ailleurs, la proportion des vers dans le nombre total de détections de malware a augmenté, ce qui est en grande partie dû à l'émergence de diverses familles dans certaines régions du monde. Toutefois, les exploits et kits d'exploitation restent parmi les menaces les plus répandues auxquelles particuliers et entreprises sont confrontés en Europe comme en Amérique du Nord. Non seulement ils sont fréquemment détectés, mais certains indicateurs ont démontré en 2015 que leurs capacités ne cessent de s'étoffer et de s'étendre à de nouveaux vecteurs d'attaque. Le nombre de ransomware «  Gendarmerie  » a diminué en 2015, contrebalancé par l'activité croissante de plusieurs familles de crypto-ransomware (voir page  31) opérant par le biais de kits d'exploitation et de macro- malware. Par ailleurs, les autorités gouvernementales et les grandes entreprises s'intéressent de près aux menaces avancées persistantes (APT  – Advanced Persistent Threats), bien qu'elles n'affectent pas la plupart des internautes. En 2015, le Laboratoire F-Secure a publié un livre blanc présentant en détail les outils utilisés par les Dukes. Nous pensons que ce groupe de cyber espionnage hautement spécialisé, extrêmementbienorganiséetdotédenombreusesressources travaille pour la Fédération de Russie depuis au moins 2008 dans le but de recueillir des renseignements permettant d'influer sur les décisions prises en matière de politiques de sécurité et d'affaires étrangères. Vers Éternel leader du classement des détections de menaces, le vieillissant Downadup (alias Conficker) a conforté à lui seul les vers dans une position prédominante. En parallèle, leur visibilité s'est trouvée globalement accrue grâce à l'émergence de plusieurs familles parvenues à se propager dans les réseaux de certaines régions du monde. La plus remarquable de ces nouvelles familles est Njw0rm, un ver VBS qui s'infiltre via des lecteurs amovibles, des pièces jointes malveillantes à des e-mails et des téléchargements à la dérobée. Essentiellement conçu pour voler des informations, il a la capacité d'ouvrir des backdoors. Njw0rm a vu ses détections nettement augmenter au second semestre 2015 par rapport au premier, mais son action a été largement suffisante pour en faire la nouvelle famille de malware la plus importante de l'année. Le ver Dorkbot a, lui aussi, fait des dégâts. Il affiche de nombreuses caractéristiques en commun avec Njw0rm. Tous deux s'insinuent par le biais de lecteurs amovibles. Tous deux ouvrent des backdoors, volent des informations et peuvent communiquer avec des serveurs distants afin de recevoir des instructions complémentaires de la part des cyber criminels. Toutefois, Dorkbot est aussi capable de se propager en intégrant des liens malveillants à des messages instantanés ou sur les réseaux sociaux. Troisième nouvelle famille remarquée, Ippedo a fait l'objet d'un assez grand nombre de signalements pour entrer dans la liste des principales menaces de 2015. Il s'agit là encore d'un voleur d'informations distribué via des lecteurs amovibles. Cependant, il ne semble pas capable de se propager par d'autres moyens, ce qui réduit considérablement son importance par rapport aux autres familles. Considérés comme un type de menace au sens large, les vers ont significativement gagné en ampleur l'an dernier. En 2015, les familles de vers représentaient en effet 18 % du total des détections de malware, contre 12 % en 2013 et 10 % en 2014. Toutefois, à l'exception du tristement célèbre ver Downadup (prédominant partout dans le monde), la plupart de ces familles ont seulement été repérées en Asie, au Moyen-Orient et, dans une moindre mesure, en Amérique du Sud. Malgré cette poussée, le cheval de Troie (par exemple, Gamarue ou Kilim) est resté le type de malware le plus souvent rencontré en 2015. Exploits et kits d'exploitation Très présents en 2015, les exploits se sont montrés actifs dans plusieurspays.Lekitd'exploitationAnglers'estparticulièrement illustré dans diverses régions du monde, régnant au Royaume- Uni, en Suède et en Australie. S'il disposait de l'arsenal le plus complet d'exploits déployé l'an dernier, sa réussite (et celle des kits d'exploitation en général) semble en partie due à son utilisation de plus en plus efficace de différents vecteurs d'attaque. La prédominance des signalements de la détection générique Trojan:JS/Redirector en apporte la preuve. Les pirates introduisent ce type de cheval de Troie sur des sites web légitimes afin de rediriger leurs visiteurs vers d'autres sites hébergeant des kits d'exploitation, notamment Angler et Nuclear. Cette attaque a été si répandue l'an dernier qu'elle s'est vu décerner le titre peu glorieux de menace principale en Suisse et au Danemark. De leur côté, les vulnérabilités Flash ont grandement contribué à la réussite des exploits, et ce même indépendamment des kits d'exploitation. En effet, les exploits identifiés par la détection générique Exploit:SWF/Salama ont compté parmi les menaces les plus présentes, notamment en Europe et aux États-Unis. Bien qu'elles ne jouissent pas de la même ampleur qu'Angler, ces deux types d'attaques ont ciblé le nombre apparemment infini d'internautes qui exécutent des versions vulnérables de Flash. Dans l'ensemble, la menace représentée par les exploits n'a pas énormément évolué par rapport aux années précédentes. MALWARE PAR TYPE 2015 2014 2013 VER CHEVAL DETROIE EXPLOIT VIRUS BACKDOOR AUTRES 67 18 8 6 1 1 VER CHEVAL DETROIE EXPLOIT VIRUS BACKDOOR AUTRES 73 10 8 6 1 1 VER CHEVAL DETROIE EXPLOIT VIRUS AUTRES BACKDOOR 63 12 11 9 4 1 POURCENTAGES DES DÉTECTIONS DE MALWARE SIGNALÉES Ils s'en prennent toujours aux particuliers et entreprises qui utilisent des logiciels dépassés ou non corrigés (par exemple, les exploitsWormLinkleurdemandentd'ouvrirunfichiercontenant un code qui exploite une vulnérabilité). Comme en 2014, ils ont constitué 8 % du total des détections de malware. Toutefois, leur contenu malveillant (entre autres, des ransomware) s'est diversifié et aggravé  : il est donc plus que jamais nécessaire de mettre à jour ses logiciels dès la publication de nouveaux correctifs de sécurité. Macro-malware L'année 2015 nous a offert une évolution intéressante avec le retour des macro-malware. Ces documents contenant du code malveillant dissimulé ont marqué la fin des années 1990 et le début des années 2000. Mais lors du lancement de la suite Office 2003, Microsoft a modifié les paramètres de sécurité par défaut pour empêcher l'activation automatique des macros à l'ouverture d'un document, compliquant considérablement la tâche des pirates. Pourtant, à partir de juin 2015, les macro-malware ont retrouvé une place de choix dans les rapports de télémétrie. Loin de figurer parmi les menaces prédominantes, ils ont néanmoins fait leur petit effet dans plusieurs pays d'Europe. Ils se propagent principalement grâce aux pièces jointes des e-mails et utilisent des techniques d'ingénierie sociale pour pousser les internautes à ouvrir les documents et à activer les macros, ce qui entraîne l'exécution du code malveillant. Les macro-malware et les exploits se ressemblent de par leur intention commune, à savoir attaquer en vue d'injecter du contenu malveillant. En 2015, il s'agissait notamment de graves menaces telles que le cheval de Troie bancaire Dridex et de crypto-ransomware tels que CryptoWall. Malware Android En 2015, l'écosystème Android a vu Slocker s'élever au rang des menaces prépondérantes. Même si les principaux chevaux de Troie envoyeurs de SMS sont restés très présents, notamment en France, la popularité croissante de Slocker marque un tournant dans le domaine des malware mobiles, qui ciblent maintenant davantage le contenu stocké sur les périphériques. L'action des backdoors (dont CoudW) indique également une évolutionaccruedestypesdecontaminationvisantlessystèmes d'exploitation par rapport aux années précédentes. Mac et iOS Les backdoors représentaient le type de malware le plus souvent détecté sur les systèmes d'exploitation Apple en 2014, ce qui offrait un contraste intéressant à la domination sans partage des chevaux de Troie sur Windows et Android. En 2015, l'écosystème Apple a subi sa plus terrible attaque à ce jour. En effet, durant l'« incident XcodeGhost », des pirates sont parvenus à s'introduire dans le très sécurisé App Store en infectant des copies de Xcode, l'outil de développement d'applications d'Apple, disponibles sur des forums de téléchargement public chinois. Ce faisant, ils ont réussi à insérer du code malveillant dans des applications qui étaient ensuite proposées sur l'App Store. Ces pirates ont tiré parti de la situation toute particulière de la Chine, où les développeurs qui ont du mal à accéder aux serveurs de téléchargements d'Apple situés à l'extérieur du pays se tournent vers des sources locales pour obtenir une copie de l'outil souhaité. C'est ce qui a permis que leurs applications, ainsi infectées, arrivent sur l'App Store. PAYS QUI EN SIGNALENT LE PLUS L'illustration ci-dessus représente le volume des signalements de détections que nous avons reçus pour chaque pays par rapport à sa population d'internautes (ceux qui utilisent nos produits de sécurité). Par exemple, malgré son grand nombre d'internautes, peu de signalements nous sont parvenus de la Finlande comparativement à Oman, qui conjugue vaste population d'internautes et taux de détection élevés. Démasquage des Dukes Les APT sont des programmes perfectionnés, en général conçus spécifiquement dans le but de s'insinuer et rôder en toute discrétion dans les réseaux et les systèmes d'exploitation. Ces menaces silencieuses visent les entreprises qui traitent des affaires ou des informations de production confidentielles. En 2015, le Laboratoire F-Secure a publié un livre blanc exposant le groupe de cyber espionnage à l'origine de cette menace : les Dukes, créateurs d'une série d'outils utilisés depuis 2008 et développés en continu au cours de ces sept dernières années. Leurs outils (CozyDuke, MiniDuke, HammerDuke et SeaDuke, entreautres)intègrenttousdesfonctionsvariéestellesquelevol de mots de passe, l'ouverture d'une backdoor et le lancement d'attaques par déni de service distribué (DDoS  – Distributed Denial of Service). Bien qu'il soit peu probable que le commun des internautes le rencontre un jour, cet arsenal très ciblé concerne plus précisémentetplusdirectementceuxquisontliésàdessociétés ou des organes gouvernementaux présentant un intérêt pour les Dukes. Oman Philippines Malaisie Argentine Colombie Mexique Égypte Équateur IranEAU Turquie Tunisie Roumanie Maroc Bulgarie Taïwan Grèce Ukraine Russie Hongrie CoréeduSud Serbie SriLanka Inde Chili Chine Pays-Bas France États-Unis Royaume-Uni Portugal HongKong Pologne Italie Australie AfriqueduSud Canada Espagne RépubliqueTchèque Slovénie Suisse Croatie Allemagne Singapour Estonie Japon FinlandeDanemark Irlande Autriche Belgique ThaïlandeBrésil Norvège Suède Les vers ont significativement gagné en ampleur en 2015 par rapport aux deux années précédentes.
  • 7. 1312 PRINCIPALES FAMILLES DE MALWARE En général, deux programmes malveillants qui partagent un code ou un comportement spécifique sont considérés comme membres d'une même famille. Les logiciels de sécurité repèrent souvent les différentes menaces d'une famille au moyen d'une détection qui identifie leurs caractéristiques communes. Les principales menaces observées en 2015 qui appartenaient à des familles distinctes de malware sont répertoriées à droite. La taille des bulles est proportionnelle à leur pourcentage du total des détections de malware par nos produits de sécurité sur l'ensemble de l'année. TENDANCES DES PRINCIPALES FAMILLES JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC 0,0 0,4 0,2 0,6 POURCENTAGEDUTOTALDESDÉTECTIONS DEMALWARESIGNALÉESEN2015 MOIS (2015) Njw0rm ver Gamarue cheval de Troie Angler kit d'exploitation Dorkbot ver Ippedo ver WormLink exploit Les principales familles présentées ont connu des pics d'activité manifestes tout au long de l'année 2015. Les détections de nouvelles familles de vers ont enregistré une hausse significative au second semestre. Les variations de leur prédominance respective sont attribuables à plusieurs causes, par exemple la distribution plus active des malware par le biais de campagnes de hameçonnage ou un changement dans la logique de détection d'une famille spécifique. PRINCIPALES MENACES Njw0rm ver Gamarue cheval de Troie Angler kit d'ex- ploitation Worm- Link exploit Dorkbot ver Kilim cheval de Troie Nuclear kit d'ex- ploitation Dridex cheval de Troie-télé- chargeur Ippedo ver Trojan.LNK.Gen Sality bot Downadup ver (Conficker) Trojan: W32/ Autorun Exploit: Java/ Majava Ramnit bot Trojan: JS/ Redirector Worm: W32/ Kataja PRINCIPAUX GÉNÉRIQUES ET FAMILLES HÉRITÉES Certains malware persistent durant des années. Ils forment des «  familles héritées  » dont la longévité s'explique de multiples manières, notamment par l'infection de nouveaux internautes ou l'altération d'un malware existant afin de réattaquer les mêmes cibles. Certains malware échappent aux détections de famille, mais pas aux détections génériques qui recherchent des caractéristiques globalement similaires. Les principales menaces observées en 2015 sont répertoriées à droite. Elles comprennent aussi bien les familles héritées que les détections génériques (identifiées par leur nom complet). La taille des bulles est proportionnelle à leur pourcentage du total des détections de malware par nos produits de sécurité sur l'ensemble de l'année. TENDANCES DES PRINCIPAUX GÉNÉRIQUES ET FAMILLES HÉRITÉES Trojan: W97M/ Malicious Macro Exploit: SWF/ Salama JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC 0,0 0,2 0,4 0,6 0,8 1,0 1,2 MOIS (2015) Trojan.LNK.Gen (cheval de Troie « raccourcis ») Downadup ver (Conficker) Worm:W32/Kataja Sality bot Ramnit bot Trojan:W32/Autorun Exploit:Java/Majava Trojan:W97M/ MaliciousMacro Exploit:SWF/Salama POURCENTAGEDUTOTALDESDÉTECTIONS DEMALWARESIGNALÉESEN2015 Trojan:JS/Redirector Sur ce graphique, les zones colorées représentent les détections génériques, tandis que les lignes représentent les familles de malware. Alors que Trojan.LNK.Gen a sensiblement reculé à l'automne, la progression des chevaux de Troie en juin marque le grand retour des macro-malware.
  • 8. 1514 JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DÉC 7 3 9 9 5 2 39 14 9 3 9 6 TOTAL DES ÉCHANTILLONS (DEPUIS JANVIER) NOMBRE D'ÉCHANTILLONS REÇUS PAR MOIS 7 10 19 28 33 35 74 88 97 100 109 115 13+87+x CHEVAL DE TROIE 13 % (15 ÉCHANTILLONS) 73 % du total des échantillons de chevaux de Troie appartiennent à la famille Flashback, un groupe de malware qui téléchargent des fichiers malveillants en se connectant à un site distant. 58+42+x BACKDOOR 58 % (67 ÉCHANTILLONS) La disponibilité du code source pourrait en partie contribuer à la proportion considérable des backdoors parmi les menaces visant Mac OS X. 2+98+x EXPLOIT 1 % (1 ÉCHANTILLON) Exploit:OSX/CVE-2009-1237 tire parti d'une vulnérabilité ancienne, possible cause de déni de service. 28+72+x AUTRES 28 % (32 ÉCHANTILLONS) Les autres menaces repérées comprennent les applications potentiellement indésirables (API). 115 Nombre de malware Mac reçus de ÉCHANTILLONS DISTINCTS JANVIER à DÉCEMBRE 2015 MALWARE MAC MALWARE ANDROID SMSSEND CHEVAL DE TROIE Envoie des SMS à des numéros surfacturés à l'internaute. 1 SLOCKER CHEVAL DE TROIE Chiffre des fichiers image, texte et vidéo, puis exige une rançon pour déverrouiller les périphériques et déchiffrer les fichiers. 2 FAKEINST CHEVAL DE TROIE Ressemble à un programme d'installation d'une application populaire, mais envoie en fait des SMS à des numéros ou services surfacturés. 3 25+75+N Le TOP 10 DES MALWARE ANDROID représente 25 % du total des malware Android détectés en 2015. 25 % GINMASTER CHEVAL DE TROIE Vole des informations confidentielles sur les périphériques touchés et les communique à un site web distant. 4 GINGERBREAK EXPLOIT Exploite une vulnérabilité des systèmes Android antérieurs à la version 2.34 en vue d'accéder aux privilèges racine des périphériques touchés. 5 SMSPAY CHEVAL DE TROIE Envoie des SMS à des numéros surfacturés à l'internaute. 6 DROIDROOTER EXPLOIT Accède aux privilèges racine. Sert aussi d'outil de piratage si délibérément exécuté, en vue d'une prise de contrôle racine. 7 DIALER CHEVAL DE TROIE Affiche constamment une page plein écran à caractère pornographique qui exhorte l'internaute à composer un numéro de téléphone. 8 SMSKEY CHEVAL DE TROIE Envoie des SMS à des numéros surfacturés à l'internaute. 9 COUDW CHEVAL DE TROIE Ouvre une backdoor qui permet aux pirates de prendre le contrôle des périphériques touchés. 10 TOP 10DESMALWAREANDROID 15 % 2,5 % 2,3 % 1,7 % 1,2 % 0,5 % 0,5 % 0,4 % 0,3 % 0,2 % EUROPE Finlande Signalement d'un nombre élevé de détections de Trojan:JS/ Redirector, ainsi que des menaces Downadup et Angler. France Seul pays signalant un nombre significatif de chevaux de Troie SmsSend sur Android. Détections fréquentes de Downadup et Trojan:JS/Redirector. Royaume-Uni Nombreux signalements du kit d'exploitation Angler, de Trojan:W97M/MaliciousMacro et de Trojan:JS/Redirector. Italie Seul pays signalant une présence significative du malware de vol bancaire Expiro. Détections fréquentes de Downadup et Trojan:W32/Autorun. Danemark Signalement de Trojan:JS/ Redirector, d'Exploit:W32/ OfficeExploitPayload et d'Angler comme menaces les plus fréquentes. Suède Signalement des kits d'exploitation Angler et Nuclear, ainsi que de Trojan:JS/Redirector comme menaces les plus fréquentes. Allemagne Signalement d'un nombre élevé de détections de Downadup, d'Exploit:W32/OfficeExploitPayload et de Trojan:JS/Redirector. Autriche Seul pays signalant une présence significative du cheval de Troie bancaire Banker. Détections fréquentes des chevaux de Troie FakePDF Trojan:JS/Redirector. Suisse Signalement de Trojan:JS/Redirector et du kit d'exploitation Angler essentiellement, avec Exploit:SWF/ Salama comme troisième menace la plus fréquente. MENACES PAR ZONE GÉOGRAPHIQUE Bien que les dix principales menaces se soient peu ou prou retrouvées dans pratiquement tous les pays en 2015, les rapports de télémétrie des internautes qui utilisent nos produits dans chaque région du monde présentaient des profils de menaces distincts. L'Europe a été particulièrementtouchéeparlekitd'exploitationAngler.Deplus,ellea fréquemment été la cible du cheval de Troie Trojan:JS/Redirector ainsi que d'attaques par fichiers contenant des macros qui téléchargent des ransomware. Certains pays d'Europe ont signalé des taux élevés de menaces particulières. Pologne Signalement de Trojan:W32/Autorun et du kit d'exploitation Angler comme menaces les plus fréquentes. Seul pays avec présence significative du virus Virtob.
  • 9. 16 Afrique Les signalements les plus courants concernent les fichiers de raccourcis malveillants, suivis par ceux du ver Ippedo et du bot Sality. Moyen-Orient Le ver Downadup reste la menace la plus fréquemment signalée, suivie par les fichiers de raccourcis malveillants et le ver Njw0rm. Amérique du Sud Les fichiers de raccourcis malveillants constituent les malware les plus courants, talonnés par les vers Downadup et Njw0rm. Asie Les internautes ont le plus souvent été victimes de fichiers de raccourcis malveillants ainsi que des vers Downadup et Njw0rm. Les menaces liées aux botnets (Sality et Ramnit) ont aussi fait l'objet de signalements fréquents. RESTE DU MONDE Océanie Les fichiers de raccourcis malveillants et Angler ont fait l'objet du plus grand nombre de signalements. Les exploits WormLink se sont également distingués. États-Unis Les internautes ont signalé la prédominance du kit d'exploitation Angler et d'Exploit:SWF/Salama, suivis par Trojan:JS/Redirector. Japon Outre la constante présence de Downadup, les internautes ont le plus souvent signalé des détections d'Angler et de Trojan:W32/Autorun. Brésil Outre la constante présence de Downadup, les internautes ont signalé la prépondérance de Trojan:JS/Redirector et du kit d'exploitation Angler. Des rapports de télémétrie concernant d'autres régions que l'Europe ont fait état d'une plus grande variété de malware, certains pays apparaissant plus touchés que la moyenne par un type particulier dans leur zone géographique. Inde Le ver Downadup a été la menace la plus souvent signalée, suivie par le bot Sality et le ver Njw0rm. Oman Les internautes ont signalé la présence significative des vers Njw0rm et Dorkbot, ainsi que de Worm:W32/Kataja. Australie Le kit d'exploitation Angler, les exploits WormLink et Trojan:W97M/MaliciousMacro ont été les menaces les plus signalées. Amérique du Nord La menace prédominante est le kit d'exploitation Angler, suivi par les exploits Salama qui ciblent les vulnérabilités Flash Player. 03 ÉTUDESDECAS 18 Effraction dans le jardin clos 20 Présentation des Dukes 17
  • 10. 1918 À l'heure actuelle, la plupart des attaques visent les internautes. Les pirates aiment notamment les piéger de façon à leur faire télécharger et installer eux-mêmes des malware à leur insu (cette tactique est connue sous le nom d'«  ingénierie sociale  »). Ils affectionnent également une autre méthode, pourtant techniquement complexe, qui consiste à exploiter des failles ou des lacunes permettant d'infecter discrètement les périphériques des internautes. Ces points faibles se trouvent en général au sein d'une application ou d'un appareil. Ils sont plus rarement le fait d'un programme, d'un processus ou d'un système sans rapport direct avec l'internaute touché. Cependant,certainspiratespréfèrentlescheminsdétournés. Ainsi, fin 2015, l'App Store d'Apple a enregistré une série d'incidents mettant en évidence les ramifications possibles des attaques qui obéissent à une autre tactique : le ciblage des développeurs. Ces incidents résultaient de l'utilisation d'outils infectés par des développeurs, qui avaient ainsi créé à leur insu des applications au comportement malveillant. Celles-ciontréussiàpasseroutrelesprocéduresdecontrôle de code d'Apple pour s'immiscer dans la plateforme et, de là, dans les périphériques iOS standard des internautes. RETRAIT DES APPLICATIONS XCODEGHOST DE L'APP STORE Apple soumet tous les programmes qui lui sont proposés à un mécanisme de contrôle rigoureux avant de les ajouter à son référentiel de logiciels, réputé merveilleusement exempt de comportement malveillant. Le tout premier malware détecté sur l'App Store en 2012 [1] était l'application Find Call, qui utilisait les coordonnées stockées sur l'appareil touché pour envoyer du courrier indésirable. Au cours des trois années suivantes, seuls deux ou trois incidents relativement mineurs se sont produits et les applications non conformes aux règles strictes d'Apple se sont vues exclues de sa boutique. En septembre 2015, cette situation idyllique a brusquement tourné au cauchemar lorsqu'Apple a annoncé avoir retiré de l'App Store plusieurs applications contaminées par un programme malveillant du nom de XcodeGhost. Selon les journalistes, plus de 30  applications étaient touchées mais certains ont ultérieurement porté ce bilan à plus de 300[2,3] . Le point le plus remarquable de cet incident était qu'au moins une partie des applications concernées provenaient d'entreprises fiables et renommées dans le secteur du développement de logiciels. La plus connue était sans doute l'éditeur de WeChat, un programme de messagerie très répandu. D'autres applications (Railway 12306, Camcard et NetEase Cloud Music, entre autres) comptaient des millions, voire des dizaines de millions d'adeptes. Si la majorité d'entre eux se trouvaient en Chine continentale, bon nombre des applications touchées étaient également utilisées dans d'autres régions du monde, dont les États-Unis et l'Europe. EFFRACTION DANS LE JARDIN CLOS Les chercheurs des entreprises Weibo, Alibaba et Palo Alto Networks, notamment, ont identifié la source du problème, à savoir une version contaminée de l'outil de développement Xcode d'Apple. Disponible gratuitement sur les serveurs de la société, Xcode sert à compiler des applications destinées aux plateformes iOS et Mac OS X. Toutefois, comme c'est le cas pour de nombreux autres programmes commerciaux ou d'entreprise, des services de partage de fichiers en proposent des copies téléchargeables aux développeurs qui, pour une raison quelconque, n'ont pas accès à la plateforme officielle. Selonlesjournalistes,laconnexionInternetaurestedumonde étant ce qu'elle est en Chine continentale, l'accès aux serveurs situés à l'extérieur du pays se trouve nettement ralenti, surtout pour y télécharger des fichiers volumineux (environ 3,5  Go pour la dernière version de Xcode). Cette difficulté a incité de nombreux développeurs à se servir de copies de l'outil hébergéessurdesserveurssituésenChine.Malheureusement, des lignes de code avaient été ajoutées à certaines d'entre elles. Lorsque les développeurs compilaient leurs applications respectives à l'aide du programme Xcode contaminé, ce code supplémentaire s'y introduisait discrètement à leur insu. Le code supplémentaire visait à communiquer des informations stockées sur les périphériques touchés à un serveur distant. Cependant, les chercheurs ont vite remarqué qu'il n'existait aucune trace de dommage ni de vol de données effectif. Il a néanmoins été recommandé aux internautes ayant téléchargé des applications infectées de les supprimer de leurs appareils ainsi que de changer leurs données de connexion aux comptes de messagerie ou de réseaux sociaux associés à ces applications en attendant que les développeurs en fournissent une version propre. AUTRE VICTIME : LA PLATEFORME UNITY Peu après l'annonce de l'incident XcodeGhost, les chercheurs en sécurité chez PwC ont déclaré que des copies clonées de la plateforme Unity en cours de distribution avaient subi une modification similaire, ce qui a valu à ces clones le nom d'UnityGhost [4] . Unity est un environnement commercial de développement tiers qui permet de créer des applications iOS (ainsi que des programmes destinés à d'autres systèmes comme Android et Windows). Par chance, dans ce cas, aucune application élaborée avec une copie contaminée ne s'est retrouvée sur l'App Store. RETRAIT DES APPLICATIONS COMPILÉES AVEC YOUMI Un mois plus tard, nouvel incident du même genre  : des applications étaient supprimées de l'App Store, car elles recueillaient des informations concernant les internautes et leurs appareils [5] . Dans ce cas, elles avaient été élaborées à l'aide du kit de développement logiciel (SDK  – Software Development Kit) tiers Youmi, qui permettait d'y intégrer des publicités. Là encore, les développeurs ignoraient que leurs créations étaient infectées de façon à passer outre les strictes procédures de sécurité et de confidentialité mises en place par Apple. Bien que la société n'ait pas précisé le nombre d'applications retirées à cette occasion, la presse l'a estimé à « plus de 250 ». Par ailleurs, l'entreprise basée en Chine à l'origine du SDK Youmi a publié des excuses officielles [6] et spécifié qu'elle «  collaborait avec Apple pour résoudre ce problème ». CIBLAGE DES DÉVELOPPEURS Collectivement, ces incidents démontrent clairement que les remparts protégeant l'App Store ne sont pas inviolables et qu'il est possible d'atteindre les propriétaires de périphériques iOS en passant d'abord par les développeurs d'applications. En effet, à chaque fois, l'outil de développement utilisé en toute innocenceavaitétémodifiédefaçonàintroduirediscrètement un code malveillant dans le produit fini. Cetyped'attaquen'étaitpastoutàfaitnouveau :ainsi,en2010, un virus avait été décelé qui introduisait du code indésirable dans chaque fichier exécutable créé avec le programme Delphi [7, 8] . En revanche, le dernier incident en date a eu sur l'App Store des répercussions publiques sans précédent. Aujourd'hui, la plupart des détenteurs d'appareils mobiles ne prêtent plus trop attention à l'avertissement standard  : «  Méfiez-vous des boutiques d'applications tierces  ». Manifestement, les développeurs ne sont pas plus à l'abri que les « internautes lambda » des motifs qui poussent le plus couramment à utiliser quand même ces sources, à savoir  : l'insuffisance de la bande passante, l'accès restreint aux sites web étrangers et l'alléchante disponibilité garantie par les référentiels tiers. Dans le but de remédier au moins en partie à cette situation, la société Apple a annoncé qu'elle prévoyait de rendre le programme officiel Xcode plus facilement accessible aux développeurs en Chine en le proposant également sur des serveurs installés dans le pays [9] . Malgré cette récente mésaventure, l'App Store reste plus difficile à pirater que l'écosystème Android (où le vecteur d'attaque le plus simple et le plus efficace reste l'ingénierie sociale).Toutefois,iln'estpasinviolable.Lesincidentssurvenus soulignent combien il est essentiel de maintenir un contrôle rigoureux tout au long du processus de développement. En effet, non seulement une contamination d'une telle ampleur met en péril la sécurité des internautes, mais elle ternit la réputation et l'image de fiabilité des développeurs concernés ainsi que de l'App Store même. DÉVELOPPEURS D'APPLIS APP STORE Appli + code malveillant Appli propre SOURCE TIERCEAPPLE PIRATE CONTAMINATION AU STADE DE DÉVELOPPEMENT Données collectées DÉTENTEURS D'APPLICATIONS Sources répertoriées à la page 38.
  • 11. L'HISTOIRE John Kasai de Klagenfurt Enregistrement d'un vaste groupe de noms de domaine sous l'alias « John Kasai » de Klagenfurt, en Autriche. Ces domaines sont ensuite utilisés lors de campagnes des Dukes jusqu'en 2014. Dans l'ombre Les Dukes se font discrets en 2012. Utilisation active mais mises à jour mineures de CosmicDuke et MiniDuke. En revanche, utilisation moindre mais mises à jour majeures de GeminiDuke et CozyDuke. Tchétchénie Deux campagnes PinchDuke repérées en novembre 2008, avec des références à deux sites web turcs comprenant du contenu relatif à la Tchétchénie. Campagnes contre l'Occident PinchDuke lance deux grandes campagnes groupées. La première cible un groupe de réflexion spécialisé en politique d'affaires étrangères basé aux États-Unis ainsi que des institutions gouvernementales en Pologne et en République tchèque. La seconde vise à collecter des informations concernant les relations entre la Géorgie et l'OTAN. CosmicDuke dans le Caucase PinchDuke poursuit ses campagnes contre des pays du Caucase (Turquie, Géorgie, Kazakhstan, Kirghizistan, Azerbaïdjan et Ouzbékistan) tout en passant le relais en douceur à un nouvel outil : CosmicDuke. Enrichissement de l'arsenal des Dukes MiniDuke et CozyDuke entrent en scène. Le premier s'articule autour d'une backdoor toute simple tandis que le second est plus polyvalent grâce ses divers modules. PinchDuke et GeminiDuke Deux outils auraient été développés en 2008 : (1) PinchDuke, lancé dans l'année et (2) GeminiDuke, lancé en janvier 2009. MiniDuke se fait remarquer MiniDuke attire l'attention des chercheurs en sécurité, qui en dissèquent des échantillons et publient leurs conclusions. Cas particulier : OnionDuke OnionDuke fait ses débuts, avec sa capacité à voler des mots de passe, collecter des données, lancer des attaques DoS et publier du courrier indésirable. Les Dukes et l'Ukraine En 2013, bon nombre de documents pièges utilisés lors de campagnes des Dukes concernent l'Ukraine. Une fois la crise politique déclarée dans le pays et la position de la Russie connue, l'Ukraine n'intéresse plus les Dukes. CosmicDuke en lutte contre la drogue En septembre 2013, une campagne CosmicDuke vise des intervenants russes impliqués dans le trafic de substances illicites et réglementées. MiniDuke renaît de ses cendres Après avoir ralenti ses activités en 2013 pour rester discret, MiniDuke opère un retour en force en 2014. Doté de composants revus et corrigés, il devient plus furtif. CosmicDuke et son quart d'heure de gloire F-Secure et Kaspersky publient des recherches sur CosmicDuke. Malgré ces révélations, les Dukes préfèrent poursuivre leurs opérations plutôt que de se cacher. CozyDuke et les vidéos de singes CozyDuke envoie des e-mails de harponnage contenant une vidéo Flash piège d'une publicité du Super Bowl 2007, mettant en scène des singes dans un bureau. OnionDuke pris la main dans le sac du nœud Tor En octobre 2014, Leviathan Security Group découvre un nœud de sortie Tor malveillant. L'enquête F-Secure révèle qu'il servait à infecter des fichiers exécutables avec OnionDuke. Cette variante n'était pas destinée à lancer des attaques ciblées mais plutôt à former un petit botnet. Les Dukes se dépassent Janvier 2015 marque le début de la plus importante campagne des Dukes à ce jour, qui repose sur l'envoi massif d'e-mails de harponnage. CozyDuke poursuit ses opérations, relayé ensuite par SeaDuke et HammerDuke. SeaDuke, en langage Python, fonctionne sur Windows et sur Linux. HammerDuke, en langage .NET, fonctionne seulement sur Windows. CloudDuke Lancement d'une nouvelle grande campagne de hameçonnage en juillet 2015 avec un nouvel outil baptisé CloudDuke. Opération en deux vagues. CosmicDuke poursuit ses frappes chirurgicales En parallèle des campagnes d'envergure de CozyDuke et CloudDuke, CosmicDuke se concentre sur de discrètes frappes ciblées. PRÉSENTATION DUKESDES Les membres des Dukes forment un groupe de cyber espionnage hautement spécialisé, extrêmement bien organisé et doté de nombreuses ressources. Nous pensons qu'ils travaillent pour la Fédération de Russie depuis au moins 2008 dans le but de recueillir des renseignements permettant d'influer sur les décisions prises en matière de politiques de sécurité et d'affaires étrangères. 2008 2009 2010 2011 2012 2013 2014 2015 PIÈGES EXPLOITATION DE VULNÉRABILITÉS Des e-mails de harponnage contenant des pièces jointes malveillantes ou des liens vers des URL hébergeant des malware infectent plusieurs victimes. Une exploitation Zero Day utilise CVE-2013-0640 pour déployer MiniDuke. Des exploits disponibles sont utilisés au sein de vecteurs d'infection et de malware. VECTEURS D'INFECTION Des images, documents et vidéos Flash sont employés comme fichiers pièges au sein de vecteurs d'infection. RÔLE ET PARRAINAGE PAR L'ÉTAT Les Dukes seraient un groupe de cyber espionnage soutenu par les autorités gouvernementales russes. Cibles : entités intervenant dans le domaine des politiques de sécuritéetd'affaires étrangères. Mission : recueillir des renseignements permettant d'influer sur les politiques de sécurité et d'affaires étrangères. LES OPÉRATIONS Les victimes peuvent se trouver de nouveau infectées par un autre outil malveillant de l'arsenal des Dukes. Exemple : les victimes de CozyDuke sont aussi touchées par SeaDuke, HammerDuke ou OnionDuke. L'une des variantes d'OnionDuke se propage via un nœud Tor malveillant qui insère un cheval de Troie au sein d'applications légitimes. Novembre 2008 - HTTP(S) Chargeurs, voleur d'informations Début : Alias : Communication : Composants : Début : Alias : Communication : Composants : Janvier 2009 - HTTP(S) Chargeurs, voleur d'informations, composants persistants Début : Alias : Communication : Composants : Janvier 2010 Tinybaron, BotgenStudios, NemesisGemina HTTP(S), FTP, WebDav Chargeurs, voleur d'informations, mécanisme d'élévation de privilèges, composants persistants Début : Alias : Communication : Composants : Juillet 2010 (chargeur), mai 2011 (backdoor) - HTTP(S), Twitter Téléchargeur, backdoor, chargeur Début : Alias : Communication : Composants : Janvier 2010 CozyBear, CozyCar, Cozer, EuroAPT HTTP(S), Twitter (sauvegarde) Injecteur, backdoor modulaire, composants persistants, module de collecte d'informations, module de capture d'écran, voleur de mots de passe, voleur de hachage du mot de passe Début : Alias : Communication : Composants : Février 2013 - HTTP(S), Twitter (sauvegarde) Injecteur, chargeur, composants clés modulaires, voleur d'informations, module DDoS, module de collecte d'informations, voleur de mots de passe, expéditeur de courrier indésirable sur les réseaux sociaux Début : Alias : Communication : Composants : Octobre 2014 SeaDaddy, SeaDask HTTP(S) Backdoor Début : Alias : Communication : Composants : Janvier 2015 HAMMERTOSS,Netduke HTTP(S), Twitter Backdoor Début : Alias : Communication : Composants : Juin 2015 MiniDionis, CloudLook HTTP(S), Microsoft OneDrive Téléchargeur, chargeur, deux variantes de backdoor Les Dukes sont connus pour leur vaste arsenal de malware que nous avons identifiés par les noms PinchDuke, GeminiDuke, CosmicDuke, MiniDuke, CozyDuke, OnionDuke, SeaDuke, HammerDuke et CloudDuke. Ces dernières années, le groupe s'est lancé dans de grandes campagnes semestrielles de harponnage visant des centaines, voire des milliers de destinataires liés à des institutions gouvernementales et entités connexes. THE DUKES: 7 YEARS OF RUSSIAN CYBERESPIONAGE https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf La recherche concernant les Dukes est publiée dans son intégralité sur le site web du Laboratoire F-Secure. LESOUTILS GEMINIDUKE COSMICDUKE MINIDUKE COZYDUKE ONIONDUKE SEADUKE HAMMERDUKE CLOUDDUKE PINCHDUKE
  • 12. 23 04 CHAÎNEDECONTAMINATION 23 Un modèle axé sur les utilisateurs 24 Étape par étape 25 Principales menaces par étape 26 Njw0rm 27 CosmicDuke 28 Étapes 28 Inception 29 Intrusion 31 Infection 33 Invasion : Infiltration 34 Invasion : Infestation Faciles à retenir, les phases de la chaîne commencent toutes les quatre par « in » : zz Inception – Phase durant laquelle un système ou un appareil est exposé à une menace potentielle zz Intrusion – Phase durant laquelle le pirate parvient à accéder au système zz Infection – Phase durant laquelle le pirate réussit à installer du contenu malveillant sur le système attaqué zz Invasion – Phase durant laquelle le contenu malveillant continue de fonctionner après l'infection initiale, ce qui aggrave généralement les conséquences de l'attaque Des exemples sont donnés pour chacune de ces phases au fil des pages suivantes. Il convient cependant de rappeler que la chaîne de contamination est axée sur les utilisateurs. Par conséquent, les ressources correspondant à chaque phase dépendent de la façon dont les internautes sont attaqués. Prenons l'exemple particulièrement parlant de l'ingénierie sociale : les pirates peuvent employer cette tactique pendant l'inception et l'intrusion. En outre, les victimes doivent bien comprendre que leur contamination à un certain niveau de sécurité ne les met pas subitement en échec total. Cette notion s'avère particulièrement importante pour les administrateurs informatiques responsables de la sécurité de réseaux entiers. Toutes les sociétés, même les plus petites, doivent mettre en place des solutions afin d'éviter les attaques tout au long de la chaîne, et définir un plan pour empêcher les pirates de gagner du terrain et d'atteindre leurs objectifs. Sources répertoriées à la page 39. La chaîne de contamination est un modèle axé sur les utilisateurs qui illustre les combinaisons de tactiques et de ressources utilisées pour infecter leurs périphériques et leurs réseaux. Ce genre de modèle est aujourd'hui nécessaire, étant donné l'évolution de la typologie des menaces au cours de la dernière décennie. Fini le temps des pirates amateurs qui créaientdesvirusinformatiquesparsimplecuriosité.Lescyber attaquesmodernes,dynamiquesetperfectionnées,sontlefait decriminels,desaboteursetdepiratesmilitants,voired'États- nations, tous animés par des objectifs différents. Pour ne pas être en reste, les chercheurs en sécurité, les administrateurs informatiques et le grand public en général doivent mieux comprendre ce à quoi ils se trouvent confrontés. La chaîne de contamination met en évidence le perfectionnement des menaces actuelles, considérées comme des événements multiphases : chaque étape engendre des effets spécifiques, souvent combinés par les pirates en vue d'augmenter les dommages potentiels. D'autres modèles présentent les cyber attaques comme des événements multiphases dynamiques. C'est notamment le cas de la Cyber Kill Chain [1] de Lockheed Martin et du cycle de vie des exploitations de Mandiant [2] , bien connus des chercheurs en sécurité du monde entier. Si ces deux exemples décomposent la démarche des APT, le modèle de la chaîne de contamination, lui, est axé sur les utilisateurs afin de permettre aux particuliers comme aux entreprises de comprendre les menacesquiplanentsurleurspropressystèmes.Enexpliquant les différents niveaux de contamination qui accompagnent chaque phase, ce modèle vise à donner à ses destinataires, notamment aux administrateurs informatiques, de nouvelles clés pour prévoir, empêcher et intercepter les attaques avant qu'elles ne causent des violations de données ou d'autres coûteux incidents de sécurité. La chaîne de contamination comprend quatre grandes phases. Bien que les attaques et outils des pirates se limitent parfois à une seule, c'est rarement le cas à l'heure actuelle. En effet, les menaces modernes associent en général plusieurs phases afin de démultiplier les dégâts occasionnés. De plus, même si les pirates peuvent abandonner un certain type d'attaque ou de campagne, il vaut mieux que les particuliers et les entreprises préparent leur défense contre les menaces et composants multiphases afin de ne pas leur prêter le flanc. CHAÎNE DE CONTAMINATION Un modèle axé sur les utilisateurs 22
  • 13. 2524 UN CODE MALVEILLANT S'EXÉCUTE DANS LE SYSTÈME DE LA VICTIME Les pirates peuvent installer (ou « injecter ») un contenu qui exécute en général un code ou logiciel malveillant produisant des effets indésirables. Ce contenu malveillant comprend des malware du type ransomware, bot, virus ou cheval de Troie. LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS Les pirates peuvent tirer parti des vulnérabilités des systèmes à l'aide d'un code spécial (exploit). Ils peuvent aussi piéger les internautes de sorte qu'ils leur donnent accès à leur ordinateur sans le savoir (ingénierie sociale). LES INTERNAUTES ET LEURS APPAREILS SONT EXPOSÉS AU PIRATAGE Navigation sur Internet, envoi d'e-mails, utilisation de lecteurs amovibles… autant d'activités normales au cours desquels les internautes peuvent, sans le savoir, s'exposer à des menaces. Par ailleurs, les pirates peuvent tenter, par la ruse ou par la force, de les placer en position de faiblesse, au moyen d'attaques techniques (redirecteurs et malware, par exemple) ou d'opérations d'ingénierie sociale (campagnes de hameçonnage, entre autres). LES PIRATES CHERCHENT À PROLONGER OU DÉMULTIPLIER LEURS DOMMAGES L'attaque persiste ou s'intensifie de façon à contaminer davantage sur le système touché ou les réseaux exposés. CHAÎNE DE CONTAMINATION Étape par étape INCEPTION INTRUSION INFECTION INVASION UN CODE MALVEILLANT S'EXÉCUTE DANS LE SYSTÈME DE LA VICTIME Ces menaces sont souvent injectées dans un système par le biais d'autres malware ou après contamination par un kit d'exploitation. INCEPTION INTRUSION INFECTION INVASION LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS Ces menaces (toutes de type exploit) offrent un accès direct au système des victimes en exploitant ses vulnérabilités ou les programmes qui y sont installés. Elles peuvent aussi permettre aux pirates d'en prendre le contrôle. LES INTERNAUTES ET LEURS APPAREILS SONT EXPOSÉS AU PIRATAGE Ces menaces ont essentiellement pour but de placer les victimes en position de faiblesse. Ainsi, les chevaux de Troie redirecteurs orientent les internautes vers des sites malveillants qui les exposent souvent à des kits d'exploitation. En général, les chevaux de Troie Macro, Autorun et « raccourcis » (sans oublier le ver Njw0rm) se dissimulent dans des fichiers en apparence inoffensifs pour que leurs cibles les enregistrent dans leur système, ce qui augmente la probabilité de leur exécution. LES PIRATES CHERCHENT À PROLONGER OU DÉMULTIPLIER LEURS DOMMAGES Une fois présentes dans un système, ces menaces sont capables de se démultiplier sur les autres machines appartenant au même réseau, renforçant ainsi les effets de la première infection. Certaines menaces, comme Gamarue ou Dorkbot, peuvent aussi contacter un serveur distant pour récupérer des instructions complémentaires des cyber criminels, susceptibles d'accroître l'impact de l'infection. Gamarue cheval de Troie WormLink exploit Nuclear kit d'exploitation Downadup ver (Conficker) Ippedo ver Trojan.LNK.Gen Sality bot Trojan: W32/ Autorun Ramnit bot Trojan: JS/ Redirector Worm: W32/ Kataja Trojan: W97M/ Malicious Macro Exploit: SWF/ Salama Njw0rm ver Dorkbot ver Dridex cheval de Troie-télé- chargeur CHAÎNE DE CONTAMINATION Principales menaces par étape Kilim cheval de Troie Exploit: Java/ Majava 24 25 Angler kit d’exploitation
  • 14. 2726 NJW0RM Chaîne de contamination LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS Le ver Njw0rm peut s'introduire dans un système de deux façons : lors de téléchargements à la dérobée sur des sites web malveillants ou en misant sur la curiosité des internautes qu'il invite à ouvrir une pièce jointe malveillante ou un fichier sur un lecteur amovible infecté. LES INTERNAUTES ET LEURS APPAREILS SONT EXPOSÉS AU PIRATAGE Le ver Njw0rm se propage par le biais des lecteurs amovibles touchés, de sites web malveillants et d'e-mails conçus spécialement à l'attention de particuliers ou d'entreprises spécifiques (harponnage). LES PIRATES CHERCHENT À PROLONGER OU DÉMULTIPLIER LEURS DOMMAGES Le ver Njw0rm ouvre une backdoor dans le système, créant ainsi un point d'entrée pour une potentielle contamination ultérieure. Il fonctionne également comme un bot qui donne au pirate le contrôle à distance de l'ordinateur infecté. De plus, il est capable de voler des données de connexion en ligne, de se mettre à jour ou se désinstaller tout seul et de renseigner l'auteur de l'attaque sur le système touché. UN CODE MALVEILLANT S'EXÉCUTE DANS LE SYSTÈME DE LA VICTIME Une fois exécuté, le vers Njw0rm s'installe dans plusieurs dossiers système clés. De plus, il manipule le registre système de sorte qu'il soit automatiquement exécuté à chaque redémarrage. Il s'agit d'un ver VBS qui se propage par le biais de lecteurs amovibles, de pièces jointes à des e-mails ciblés à l'attention de particuliers ou d'entreprises et de téléchargements à la dérobée sur des sites web malveillants. Une fois introduit dans un système, il y exécute d'autres fichiers, vole des identifiants, mots de passe et informations sur les portails en ligne associés, se met à jour ou se désinstalle tout seul, et contacte un serveur de commande et contrôle (CC) pour obtenir des instructions complémentaires. De plus, il renseigne l'auteur de l'attaque sur le système touché, en lui communiquant les adresses IP visitées, des informations sur le système d'exploitation, etc. COSMICDUKE UN CODE MALVEILLANT S'EXÉCUTE DANS LE SYSTÈME DE LA VICTIME CosmicDuke infecte les systèmes avec un voleur d'informations doté de fonctions de keylogging, de capture d'écran et d'exportation de clés de déchiffrage, capable de voler des données de connexion des navigateurs et clients de messagerie électronique ou instantanée. LES PIRATES ACCÈDENT AUX SYSTÈMES EXPOSÉS CosmicDuke s'insinue dans un système en exploitant ses vulnérabilités logicielles lorsque la victime ouvre ou affiche une pièce jointe malveillante, ou en comptant sur sa curiosité pour lui faire exécuter le code de la pièce jointe en question. LES INTERNAUTES ET LEURS APPAREILS SONT EXPOSÉS AU PIRATAGE Les internautes se trouvent initialement exposés à CosmicDuke via des campagnes de harponnage utilisant des pièces jointes malveillantes. LES PIRATES CHERCHENT À PROLONGER OU DÉMULTIPLIER LEURS DOMMAGES CosmicDuke exfiltre des données volées via les protocoles HTTP, HTTPS, FTP ou WebDav à l'aide de serveurs CC. Il s'agit notamment de données de connexion grâce auxquelles les pirates peuvent accéder aux systèmes touchés à distance, sans aucun malware supplémentaire ni outil spécial, et faire ainsi persister leur contamination bien au-delà du niveau d'infection initial. Chaîne de contamination CosmicDuke est le nom de l'un des outils utilisés par les Dukes, un groupe de cyber espionnage qui serait soutenu par l'État russe (voir « Présentation des Dukes », p. 20). Depuis 2008, les Dukes utilisent activement au moins neuf outils pour voler des informations dans le cadre de leurs opérations de renseignement. Les autorités gouvernementales, organes politiques et autres entités détenant des informations relatives aux politiques de sécurité et d'affaires étrangères de différents pays sont leurs cibles de prédilection. CosmicDuke repose sur un voleur d'informations. Les pirates peuvent décider de lui adjoindre individuellement plusieurs autres composants. CosmicDuke disposera alors de fonctions supplémentaires (par exemple, plusieurs méthodes de persistance) ainsi que de modules qui visent à exploiter les vulnérabilités permettant de l'exécuter avec une élévation de privilèges. INCEPTION INTRUSION INFECTION INVASION 26 27
  • 15. 2928 INCEPTION L'inception est la première phase de la chaîne de contamination. Elle concerne tous les internautes, particuliers comme entreprises, exposés à des menaces en général ou à une seule menace précise. Il arrive souvent que les particuliers et les entreprises s'exposent à des menaces sans le savoir et les pirates anticipent désormais ce comportement. Toutefois, ces derniers sont nombreux à jouer un rôle plus actif afin de mettre leurs cibles potentielles en position de faiblesse au moyen d'attaques techniques (malware, par exemple) et/ou d'opérations d'ingénierie sociale (campagnes de hameçonnage, entre autres). Trojan:JS/Redirectorestunensembled'attaqueswebvisantàredirigerlesinternautesversunsiteweb non désiré à partir du site web qu'ils consultent ou souhaitent visiter. Dans certains cas, il arrive aux sites légitimes de rediriger leurs visiteurs : les pirates ont détourné cette technique afin de les orienter vers des pages malveillantes. En général, ils contaminent l'un de ces sites légitimes dans l'intention d'atteindre ceux qui le consultent. Trojan:JS/Redirector utilise des sites web non désirés qui partagent tout ou partie des caractéristiques suivantes : zz Contenu à caractère pornographique zz Injection de malware dans l'ordinateur de l'internaute zz Exfiltration de données stockées sur l'ordinateur de l'internaute zz Opération frauduleuse avec détournement du trafic Internet entrant Les redirecteurs constituent des moyens aussi courants qu'efficaces pour lancer une attaque, et les pirates s'en sont fréquemment servis en 2015 pour orienter le trafic Internet vers des kits d'exploitation. Trojan:JS/Redirector.FE a été le plus actif des redirecteurs observés en 2015. Il renvoyait les internautes vers des serveurs hébergeant des kits d'exploitation, notamment deux prépondérants : Angler et Neutrino. La plupart des attaques de Trojan:JS/Redirector.FE ont été détectées en Allemagne, suivie par la France, la Suède et les États-Unis. Trojan:JS/Redirector.FD (alias BizCN [1] ) s'est lui aussi montré actif en 2015. À l'origine, il renvoyait les internautes vers des serveurs hébergeant FiestaEK, avant de passer à NuclearEK et NeutrinoEK. Il a enregistré bien plus de détections aux États- Unis qu'ailleurs, mais s'est aussi révélé sensiblement présent au Royaume-Uni, en Finlande et au Canada. Trojan:SWF/Redirector.EW (alias EITest Flash Redirector [2] ) s'est aussi passablement illustré en 2015, plus particulièrement au printemps et à l'automne. Il semble avoir servi à lancer les campagnes AnglerEK qui ont sévi durant ces périodes. Là encore, les régions les plus touchées ont été l'Amérique du Nord (États-Unis) et l'Europe (Suède, Royaume-Uni et Pays- Bas). Pour rappel, bon nombre des sites web qui hébergent des redirecteurs ne sont pas eux-mêmes malveillants. Il s'agit simplement de sites légitimes que leurs failles intrinsèques laissent à la merci des pirates, ce qui en fait des victimes et non des criminels. Par exemple, il ressort qu'un grand nombre des sites web hébergeant Trojan:SWF/Redirector.EW ont été conçus avec WordPress. Il est tout à fait possible que les sites web touchés aient été précisément ciblés pour cette raison, ou bien parce qu'ils utilisaient un plug-in vulnérable. Toutefois, un faisceau de preuves semble indiquer que les pirates ont utilisé d'autres techniques, notamment des attaquesbrutalespourrécupérerlesmotsdepasseprotégeant lesdroitsd'accèsdeniveauadministrateurauxsiteswebciblés. Or, le chargement de scripts malveillants (des redirecteurs, par exemple) devient un jeu d'enfant pour les pirates lorsqu'ils disposent de ce genre d'accès. La prédominance des détections de Trojan:JS/Redirector en Amérique du Nord et en Europe correspond aux observations faisant état de la place prédominante des kits d'exploitation dans ces régions du monde. Les redirecteurs devraient donc être considérés comme de graves menaces visant les particuliers et les entreprises qui y sont installés. Les redirecteurs sèment la panique aux USA et dans l'UE Sources répertoriées à la page 39. PAYS LES PLUS TOUCHÉS POURCENTAGE DES DÉTECTIONS SIGNALÉES PAR PAYS TROJAN:JS/ REDIRECTOR.FE Allemagne France Suède États-Unis Autres 23 17 11 10 39 TROJAN:JS/ REDIRECTOR.FD États-Unis Royaume-Uni Canada Finlande Autres 58 10 8 8 17 TROJAN:SWF/ REDIRECTOR.EW Suède États-Unis Royaume-Uni Pays-Bas Autres 30 21 14 11 26 VULNÉRABILITÉS TOP 5 DES KITS D'EXPLOITATION Programme Réf. CVE Angler Neutrino Nuclear Magnitude Rig Flash Player CVE-2015-0310 Flash Player CVE-2015-0311 Flash Player CVE-2015-0313 Flash Player CVE-2015-0336 Flash Player CVE-2015-0359 Flash Player CVE-2015-3090 Flash Player CVE-2015-3105 Flash Player CVE-2015-3113 Flash Player CVE-2015-5119 Flash Player CVE-2015-5122 Silverlight CVE-2015-1671 Internet Explorer CVE-2015-2419 Flash Player CVE-2015-5560 Flash Player CVE-2015-7645 Flash Player CVE-2015-8446 L'intrusion est la phase de la chaîne de contamination qui marque le début de l'attaque proprement dite. Les particuliers et les entreprises qui s'exposent à des menaces fournissent aux pirates l'occasion de s'immiscer dans leurs systèmes. Les techniques d'ingénierie sociale visent à piéger les internautes de sorte qu'ils permettent aux pirates d'accéder à leur ordinateur. Pourtant, la ressource la plus plébiscitée en matière d'intrusion est l'exploit. Ce type de menace permet aux pirates de tirer parti des vulnérabilités logicielles afin d'obtenir un certain niveau d'accès, voire de contrôle, sur les systèmes exposés. menaces en Suède, aux États-Unis, au Royaume-Uni et en Australie. Angler s'est montré capable de prendre en charge les vulnérabilités Flash plus vite et plus souvent que les autres kits d'exploitationprépondérants.Lepiratagedelasociétéitalienne Hacking Team, spécialisée en logiciels de surveillance, illustre la redoutable efficacité de ce type de menace, surtout Angler, pour exploiter de nouvelles failles. Incident Hacking Team Durant la première semaine de juillet 2015, un volume considérable de données détenues par Hacking Team a été rendu public. Il contenait notamment deux vulnérabilités Flash Zero Day. La première, CVE-2015-5119, a été utilisée le jour même de l'incident par trois kits d'exploitation (Angler, Neutrino et Nuclear). Deux autres l'ont reprise dans les deux jours suivants, bien qu'Adobe ait fourni un correctif le lendemain de la publication des données [1] . La seconde, CVE-2015-5122, a été adoptée par AnglerEK le lendemain de sa découverte parmi les données de Hacking Team [2] . NeutrinoEK l'a reprise le jour suivant. Deux jours plus tard, les créateurs de NuclearEK et RigEK ont également intégré à leurs kits des exploits ciblant cette vulnérabilité. Le tout avant qu'Adobe ait pu élaborer et déployer un correctif. Les exploits sont des bouts de code conçu pour tirer parti des vulnérabilités logicielles des ordinateurs et représentent une ressource prépondérante des pirates à l'heure actuelle. Leur réussite dépend de leur découverte d'une vulnérabilité logicielle dans les systèmes ciblés. Les exploits se trouvent souvent groupés dans un kit d'exploitation, qui a pour but de scanner les logiciels installés sur les appareils touchés à la recherche de vulnérabilités non corrigées afin d'employer l'exploit le plus pertinent. Il ne reste alors plus au kit qu'à exploiter cette faille de sécurité de façon à injecter du contenu malveillant, sous forme de ransomware par exemple. Dans la lignée des observations de 2014, les kits d'exploitation ciblant les vulnérabilités Flash ont de nouveau affiché une présence prépondérante en 2015. S'il existait en 2013 des kits d'exploitation visant plusieurs vulnérabilités Java, leurs créateurs se sont maintenant tournés vers Flash. AnglerEK,leplusactifetleplusefficaceenmatièred'intégration d'exploits destinés aux vulnérabilités Flash, a été remarqué dans un certain nombre de campagnes tout au long de l'année dernière. Ses créateurs l'ont en effet doté d'une prise en charge des vulnérabilités Flash plus souvent que les auteurs des autres principaux kits d'exploitation. En 2015, AnglerEK a été fréquemment détecté dans plusieurs pays différents, au point de se hisser à la première place du classement des INTRUSION AnglerEK domine Flash VULNÉRABILITÉS LES PLUS UTILISÉES PAR LE TOP 5 DES KITS D'EXPLOITATION EN 2015 Angler a été le kit d'exploitation le plus actif et le plus efficace en matière d'intégration d'exploits à son arsenal.
  • 16. 3130 Public Vulnérabilité rendue publique Corrigé Correctif émis par le fournisseur Exploit ajouté au kit d'exploitation FRISE DE L'AJOUT DES PRINCIPAUX EXPLOITS AUX KITS D'EXPLOITATION Public MAI JUIN JUIL AOU CVE-2015-1671 MS15-065 Silverlight CVE-2015-2419 MS15-044 Internet Explorer Public Angler Magnitude Angler Magnitude Nuclear Public Public Corrigé 6 127 8 9 Corrigé 10 11 13 14 RigMagnitude Angler Neutrino Nuclear Rig Magnitude MOIS JOURS *Vulnérabilités Flash Player révélées lors du piratage de Hacking Team Angler Nuclear Neutrino Neutrino Flash étant utilisé sur plusieurs plateformes, ses failles constituent des cibles de choix pour les développeurs de kits d'exploitation. D'ailleurs, ils sont bien plus nombreux et réactifs quand il s'agit de créer des exploits visant les vulnérabilités Flash que lorsqu'il est question de s'adapter aux failles d'autres programmes. Ainsi, les créateurs d'Angler et de Magnitude ont mis deux mois à exploiter la vulnérabilité Silverlight CVE-2015-1671 révélée en mai. De la même façon, les cinq principaux kits d'exploitation n'ont pas pris en charge la vulnérabilité Internet Explorer révélée à la mi-juillet avant le mois d'août. AnglerEK a été assez souvent détecté en 2015 pour compter parmi les formes d'intrusion les plus couramment rencontrées par les particuliers et les entreprises. CVE-2015-5119* CVE-2015-5122* En avril dernier, l'organisme américain chargé de la sécurité informatique (US-CERT – United States Computer Emergency Readiness Team) a publié une alerte concernant l'utilisation de logiciels non corrigés dans les entreprises. Selon ses informations, 85 % des attaques ciblées pourraient être évitées et les entreprises devraient plus rapidement corriger et mettre à jour leurs logiciels afin de donner moindre prise aux pirates [3] . Cependant, cette alerte n'a toujours pas produit l'effet escompté. D'après certaines recherches, un quart des versions de WordPress actuellement utilisées en Finlande contiendraient des vulnérabilités exploitables. De plus, les donnéeshistoriquesportentàcroirequelasituations'aggrave. Ainsi, une enquête similaire conduite en 2014 avait conclu que 24 % des versions de WordPress étaient vulnérables, un chiffre en hausse à 26 % en 2015. Lesfailleslogiciellessontlaraisond'êtredumarchédesexploits, qui fait florès en tirant parti de l'utilisation constante de logiciels obsolètes ou non corrigés. Cette situation génère en effet une demande pour les exploits adaptés à ces vulnérabilités, ce qui stimule à son tour l'offre des créateurs. Le fait que WordPress ait vu son taux d'utilisation doubler en Finlande entre 2014 et 2015 devrait être considéré comme un indicateur du potentiel de croissance dont jouit le marché des exploits WordPress. UTILISATION DE WORDPRESS EN FINLANDE WordPress dans la tourmente en Finlande 25 000 15 000 5 000 0 2014 2015 Vulnérable Mis à jour Sources répertoriées à la page 39. Les infections par malware sont la bête noire des particuliers comme des entreprises, car elles déterminent l'impact de l'attaque sur les internautes. En effet, dès qu'un pirate peut accéder à un système, il est libre d'y insérer un ou plusieurs fichiers malveillants produisant des effets indésirables. Selon les caractéristiques de l'attaque, les malware entraînent des violations et autres incidents de sécurité, dont des violations de données, la perte de contrôle sur les informations ou sur l'infrastructure critique et la dégradation des performances système. En 2015, le contenu malveillant employé a pris la forme de chevaux de Troie bancaires (Dridex), de botnet (Ramnit ou Sality), de voleurs d'informations (Fareit) ainsi que de diverses familles de ransomware. Les ransomware ont eu la faveur des kits d'exploitation les plus souvent détectés en 2015 et sont devenus des outils efficaces pour extorquer aussi bien les particuliers que les entreprises. Ces familles de menaces sont conçues pour soutirer de l'argent à leurs victimes en verrouillant leurs périphériques et leurs données jusqu'à ce qu'elles versent une rançon (« ransom », en anglais). L'approche adoptée pour bloquer l'accès aux systèmes varie selon les familles. En revanche, elles ne se divisent qu'en deux groupes : les ransomware «  Gendarmerie  » et les crypto-ransomware. Les premiers bloquent tout accès aux périphériques et aux données en se faisant passer pour des représentants de la force publique informant l'internaute qu'il a violé une quelconque loi et doit payer une amende pour retrouver l'usage de son système infecté. Les seconds chiffrent le contenu des périphériques afin d'empêcher la victime de s'en servir jusqu'à ce qu'elle paie une rançon pour obtenir la clé de déchiffrage correspondante. Bien que le nombre de ransomware «  Gendarmerie  » ait diminué en 2015, plusieurs familles de crypto-ransomware ont fait des adeptes, d'où la présence globalement stable de ce type de menace. La famille de ransomware « Gendarmerie » Browlock a perdu du terrain par rapport à 2014, mais elle s'est suffisamment illustrée début 2015 pour enregistrer davantage de détections que toutes les autres familles sur l'année entière. À l'inverse, plusieurs variantes de crypto-ransomware sont montées en puissance au fil des mois. Ainsi, CryptoWall a pris assez d'importance en 2015 pour éclipser plusieurs familles de ransomware « Gendarmerie » régnantes en 2014, au point de devenir la famille de crypto-ransomware la plus active pendant la majeure partie de l'année. Deux autres familles, Crowti et Teslacrypt, se sont montrées plus actives au dernier trimestre, gagnant au passage une plus grande place parmi les menaces observées. Dans l'ensemble, davantage de familles de crypto-ransomware ont été plus actives en 2015 qu'en 2014. KITS D'EXPLOITATION Angler Nuclear Magnitude Fiesta Alpha Crypt CryptoWall CryptoWall CryptoWall CryptoWall CTB-Locker Reveton TeslaCrypt TeslaCrypt Troldesh CONTENU DE RANSOMWARE DIFFUSÉ PAR LES PRINCIPAUX KITS D'EXPLOITATION DÉTECTIONS DE RANSOMWARE DE 2014 À 2015 Browlock CTB-Locker Reveton Urausy CryptoWall Crowti TeslaCrypt 2014 2015 POURCENTAGE DU TOTAL ANNUEL DES DÉTECTIONS DE MALWARE SIGNALÉES 0,4 0,1 0,006 0,003 0,001 0,001 0,001 0,01 0,02 0,06 0,0002 CONTENU MALVEILLANT L'infection est la phase de la chaîne de contamination au cours de laquelle le contenu injectéexécuteuncodemalveillant.Unefoisqu'unsystèmeesttouché,lespiratessont libres d'y installer (ou « injecter ») un contenu qui exécute en général une espèce de code malveillant produisant des effets indésirables. Ce contenu malveillant comprend des malware du type ransomware, bot, virus ou cheval de Troie. INFECTION L'ascensiondescrypto-ransomware Flash étant utilisé sur plusieurs plateformes, ses vulnérabilités constituent des cibles de choix pour les développeurs de kits d'exploitation Bien que le nombre de ransomware « Gendarmerie » ait diminué en 2015, plusieurs familles de crypto-ransomware ont fait des adeptes, d'où la présence globalement stable de ce type de menace.
  • 17. 3332 45+20+9+6+3+17+D 33+17+16+13+12+9+D Si les piratages DNS prennent diverses formes selon leur cible (par exemple, celui d'une grande société est différent de celui d'un particulier ou d'une microentreprise), ils affichent tous le même but : altérer la configuration des systèmes de noms de domaine (DNS – Domain Name System) chez leurs victimes afin de surveiller ou détourner le trafic Internet. Ce type d'attaque est facilité par plusieurs failles de sécurité, notamment la faiblesse des mots de passe, les vulnérabilités logicielles et les malware. Les piratages DNS s'avèrent efficaces pour attaquer en masse les cibles potentielles puisqu'ils permettent de contaminer tous les périphériques connectés à un réseau. Cette menace, fréquente à l'heure actuelle, a enregistré un pic d'activité significatif au printemps et à l'été 2015, plus précisément d'avril à août. Les attaques menées durant cette période ont modifié la configuration DNS par défaut de leurs cibles en vue de détourner le trafic Internet. Les piratages DNS observés en 2015 étaient concentrés en Italie et en Pologne, et dans une moindre mesure en Égypte, en Suède et en Inde. Leurs auteurs ont le plus souvent redirigé le trafic Internet vers des adresses IP malveillantes qui injectaient le malware Kelihos dans les périphériques infectés. Kelihos est un botnet prépondérant qui sert à envoyer du courrier indésirable et lancer des attaques DDoS. Il est également capable de voler des informations, dont des données de connexion. Les chevaux de Troie Fareit, Pkybot et Zbot ainsi que le malware Asprox – lié au botnet du même nom – formaient également une grande partie des autres types de contenu malveillant diffusé lors des piratages DNS en 2015. L'altération des paramètres DNS n'était que la fin justifiant les moyens : comme de nombreuses attaques modernes, les piratages DNS ne sont pas cantonnés à une seule phase de la chaîne de contamination. Dans quasiment la moitié (48 %) des cas détectés, ils ont en effet servi à instaurer des botnets. Par ailleurs, Pkybot et Fareit agissent à la fois comme des voleurs d'informations et comme des téléchargeurs, qui injectent du contenu malveillant supplémentaire après l'infection initiale. Ainsi, dans une écrasante majorité des cas (77 %), les pirates ont tenté d'obtenir un accès persistant aux systèmes touchés afin de pouvoir s'y immiscer davantage pour déclencher de nouvelles infections ou instaurer une contamination permanente. Par conséquent, les internautes devraient considérer les piratages DNS comme de possibles menaces persistantes pour leurs appareils et leurs réseaux, que les cyber criminels peuvent utiliser longtemps à diverses fins. AUTRES 33 ITALIE 17 POLOGNE 16 SUÈDE 12 ÉGYPTE 13 INDE 9 PRINCIPAUX PAYS TOUCHÉS (%) AUTRES 17 KELIHOS 45 FAREIT 20 PKYBOT 9 ZBOT 6 ASPROX 3 PRINCIPALES MENACES AVEC ROUTEURS DNS PIRATÉS (%) L'invasion est l'ultime phase de la chaîne de contamination. Au cours de cette phase, l'infection initiale persiste jusqu'à ce que la victime prenne des mesures pour contrer l'attaque ou bien s'intensifie afin de contaminer davantage son système ou son réseau. La méthode d'intensification employée dépend des caractéristiques de l'attaque, mais deux grands axes se dégagent aujourd'hui : l'infiltration et l'infestation. Avec l'approche «  infiltration  », les pirates peuvent s'immiscer davantage dans le système touché, ce qui leur permet de planifier d'autres attaques ou de prolonger les effets de la première en provoquant une contamination persistante. INVASION : INFILTRATION Piratage DNS en 2015 : des bots, des téléchargeurs et des voleurs d'informations 0 5 10 15 20 25 30 DECJUNJAN INFECTIONS PAR PIRATAGE DNS (2015) % MOIS 30 25 20 15 10 5 0 JANV JUIN DÉC Les piratages DNS ont enregistré un pic d'activité d'avril à août 2015. Des chercheurs ont déjà remarqué que les campagnes de crypto-ransomware disposent d'une infrastructure qui incite leurs cibles à verser la rançon et leur fournit ensuite automatiquement les clés de déchiffrage nécessaires [1] . De leur côté, les auteurs de campagnes de ransomware « Gendarmerie » tendent à se contenter de toucher la rançon sansaiderlesinternautesàsedébarrasserdeleursinfections[2] . Étantdonnéquelesauteursd'attaquesparcrypto-ransomware aident souvent leurs victimes pour s'assurer qu'elles les paieront, et que le montant demandé est relativement raisonnable, le FBI recommande aux entreprises touchées de verser tout simplement la rançon [3] . En 2015, plusieurs services de police américains ont suivi ce conseil et payé chacun des centaines de dollars à des extorqueurs en ligne afin de libérer leurs systèmes de l'emprise de ransomware  [4] . Ce genre d'exemple souligne aussi bien l'efficacité des ransomware en tant qu'outils d'extorsion que l'importance de contrer les attaques en amont de la phase d'infection. POURCENTAGEDUTOTALDESDÉTECTIONSDE MALWARESIGNALÉES(2015) JANV FÉV OCTSEPAOUJUILJUINMAIAVRMARS NOV DEC PRINCIPALES DÉTECTIONS DE RANSOMWARE EN 2015 Janv 2015 Browlock : 0,103 % Crowti CryptoWall Urausy Reveton TeslaCrypt CTB-Locker 0,002 0,004 0,006 0,008 0,010 0,012 0,014 0,016 0,018 Sources répertoriées à la page 39. CryptoWall a été la famille de ransomware la plus souvent détectée sur la majorité de l'année 2015. MOIS (2015) AFFICHAGE DE DEMANDES DE RANÇON Demandes de rançons affichées par le ransomware « Gendarmerie » Browlock (à gauche) et le crypto-ransomware CryptoWall (à droite)
  • 18. 3534 En 2015, Downadup s'est maintenu au rang de type de malware le plus fréquemment détecté. Ce ver, découvert en 2008, est aujourd'hui reconnu comme l'une des infections informatiques les plus répandues. Downadup s'en prend aux systèmes Windows non corrigés (dont plusieurs versions de Windows Server), d'où il se propage aux réseaux vulnérables connexes. Depuis ses débuts en 2008, Downadup a infecté des millions d'ordinateurs et causé des perturbations considérables pendant que les entreprises ciblées s'efforçaient de le combattre [1] . À un moment, Microsoft offrait une récompense de 250 000 dollars (soit plus de 220 000 euros) pour toute information conduisant à la condamnation de ses créateurs [2] . Combinant différentes tactiques, Downadup se révélait plus perfectionné que tous les autres vers informatiques connus des chercheurs à l'époque, d'où son inclusion parmi les familles de malware les plus invasives jamais recensées. Downadup reste une famille de malware prépondérante à ce jour. C'est d'ailleurs la plus fréquemment détectée en Allemagne, en Finlande, en France, en Inde, en Italie et en Norvège. Bien qu'il existe de nombreux antivirus capables de repérer et d'éradiquer ce ver chez les particuliers, il demeure compliqué de le supprimer de réseaux plus étendus tels que ceux des opérateurs de télécommunications ou des multinationales. L'invasion est l'ultime phase de la chaîne de contamination. Au cours de cette phase, l'infection initiale persiste jusqu'à ce que la victime prenne des mesures pour contrer l'attaque ou bien s'intensifie afin de contaminer davantage son système ou son réseau. La méthode d'intensification employée dépend des caractéristiques de l'attaque, mais deux grands axes se dégagent aujourd'hui : l'infiltration et l'infestation. L'infestation est ce qui se passe lorsqu'une attaque parvient à se propager au-delà d'un périphérique ou système touché, s'étendant à tout un réseau. INVASION : INFESTATION Downadup pourrait-il se refaire une santé grâce à l'Internet des objets ? Sans compter que, bien qu'il ne soit plus tout jeune, Downadup a trouvé de nouveaux supports de propagation. Ainsi, il a été repéré en novembre 2015 dans plusieurs caméras portatives fabriquées spécialement pour des forces de police américaines  [3] . De nombreux appareils relevant de l'Internet des objets (IdO), dont les caméras portatives, sont incompatibles avec les antivirus traditionnels. Si ces périphériques non sécurisés prolifèrent, il est donc tout à fait possible que des menaces du genre de Downadup connaissent un regain d'activité. ? Les malware continuent à se démocratiser et les plateformes de malware-as- a-service, de mieux en mieux organisées, ne cessent de se perfectionner. Il est facile d'acheter en ligne des campagnes clé en main personnalisées. Une fois qu'elles sont lancées, des botnets distribuent du courrier indésirable qui déclenche des infections. Le contenu malveillant injecté communique alors les informations recueillies à une infrastructure dorsale gérée qui fait partie intégrante du service fourni. Nous avons même observé la réalisation de tests bêta avant le lancement effectif d'une campagne. Bien qu'elles aient essentiellement pour objet de générer des gains financiers, ces campagnes de malware-as-a-service servent parfois à d'autres fins malveillantes telles que voler des données ou vouer des internautes à la honte publique. En comparaison des coûts qu'elle occasionne pour chacun des particuliers et entreprises concernés, une campagne de malware s'avère incroyablement économique. Nous constatons toujours une montée en flèche des ransomware, une tendancequidevraitsepoursuivretoutaulongdel'année2016.Nonseulement les campagnes de ransomware gagnent en structure et en perfectionnement, mais les malware eux-mêmes se font plus retors. Les crypto-ransomware comptent parmi les logiciels les plus destructeurs repérés des derniers temps. Leur méthode consiste à chiffrer en bloc les fichiers stockés sur une machine, en donnant pour seul recours à la victime de payer ses assaillants pour obtenir une clé de déchiffrage. Récemment, ce type de malware est devenu le cauchemar des entreprises en parvenant à chiffrer des fichiers partagés sur des réseaux non assignés. Le montant de la rançon exigée peut dépasser 400 dollars (soit plus de 350 euros) par système infecté. Nous nous attendons à ce que les APT renforcent encore leur présence en 2016. Les groupes organisés (par exemple, des États-nations, pirates militants, prestataires de services de sabotage et d'espionnage industriel et autres cyber criminels) s'intéressent aux sociétés et aux organes gouvernementaux dans le but de générer des gains financiers, voler leurs données, perturber leurs activités et ternir leur réputation. À l'inverse des criminalware, qui s'en prennent sans distinction à tous les systèmes à leur portée, les APT sont très ciblées et difficiles à détecter avec les moyens traditionnels. Pour contrer de telles menaces, il faut une stratégie de cyber sécurité nettement plus développée. LesransomwareetlesAPTseretrouventàlaunedel'actualitéquasimenttoutes les semaines, dans des articles qui s'étendent désormais à d'autres supports quelesseulssitesspécialisés.Àl'heureoùlesconsciencess'éveillentàlaréalité de la cyber criminalité et de la cyber guerre, les autorités gouvernementales se hâtentderédigerdenouvellesréglementationsquifournirontassurémentdes lignes directrices aux entreprises. L'année à venir s'annonce par ailleurs riche en débats publics autour du chiffrement et de l'accès aux données à caractère personnel, deux sujets concernant tous les propriétaires d'ordinateurs et de smartphones. Pour couronner le tout, l'Internet des objets continuera à s'étendre et pourrait bien peser dans les débats ouverts en matière de cyber sécurité. ANDY PATEL Technology Outreach @r0zetta CONCLUSION « À L'HEURE OÙ LES CONSCIENCES S'ÉVEILLENT À LA RÉALITÉ DE LA CYBER CRIMINALITÉ ET DE LA CYBER GUERRE, LES AUTORITÉS GOUVERNE­ MENTALES SE HÂTENT […] »