‘Phishing’ ou autres: les données confidentielles toujours plus menacées?

Symantec vient de publier un rapport (ISTR,

Internet security threat report 03/2005) qui révèle cinq faits majeurs s’agissant des menaces qui affectent Internet: -les tentatives de ‘phishing’ ont augmenté de 366% entre juillet et décembre 2004 ! -les menaces pesant sur les informations confidentielles n’ont cessé d’augmenter au cours des trois derniers semestres; -les attaques contre les applications Web représentent 48% de toutes les vulnérabilités répertoriées du 1er au 31 décembre; -le nombre de nouvelles variantes de virus et vers Windows 32 dépassent les 7.360; -les vulnérabilités graves, faciles à exploiter et exploitables à distance, sont en forte augmentation. Le phishing Dans sa précédente édition (mi-2004), l’ISTR annonçait déjà que les escroqueries en ligne poseraient de sérieux problèmes. Les faits l’ont confirmé au cours des six derniers mois. Du 1er juillet au 31 décembre 2004 le volume des messages de ‘phishing’ est passé de 1 million à 4,5 millions par jour en moyenne. Les filtres antifraude de Symantec Brightmail AntiSpam ont bloqué en moyenne plus de 33 millions de tentatives de ‘phishing’ par semaine contre seulement 9 millions en juillet 2004. De mai 2003 à mai 2004, aux Etats-Unis, les banques et les émetteurs de cartes de crédit avaient estimé que le ‘phishing’ leur avait fait perdre 1,2 milliard de dollars. [NDLR: le ‘phishing’ (prise à l’hameçon, littéralement) est une pratique criminelle (venue des pays de l’Est, pour l’essentiel). Elle consiste à pièger des internautes en les incitant à aller donner leurs coordonnées bancaires sur des sites imitant point pour point, par exemple, ceux de leur banque.] Les vulnérabilités des applications Web Les applications Web sont particulièrement visées car elles permettent aux attaquants de contourner les systèmes de sécurité (pare-feu) et d’accéder aux informations confidentielles sans compromettre les serveurs individuels. Au cours du deuxième semestre 2004, Symantec a répertorié plus de 1.403 nouvelles vulnérabilités. Soit en moyenne plus de 58 nouvelles vulnérabilités par semaine ou près de 10 par jour! 97 % de ces vulnérabilités étaient considérées comme modérées ou très graves (donc elles pouvaient endommager le système visé). De plus, 70% de ces vulnérabilités étaient considérées comme faciles à exploiter (leur exploitation ne nécessitait pas de code personnalisé, mais simplement la récupération de code disponible). C’est là un point du rapport particulièrement inquiétant car il met en exergue le fait qu’il n’est pas nécessaire d’être un grand pirate pour réaliser des attaques. 80% de ces vulnérabilités sont exploitables à distance ce qui démultiplie le nombre d’attaquants possibles. Codes malicieux vers et attaques Le ‘phishing’ n’est pas la seule menace concernant les informations confidentielles ; certains codes malicieux sont créés par les attaquants pour dérober celles-ci. Du 1er juillet au 31 décembre 2004, ces codes représentaient 54% des cinquante principaux codes répertoriés contre 44% au premier semestre 2004 et 36% au deuxième semestre 2003. Cette augmentation préoccupante s’explique par l’utilisation de ‘trojans‘ (chevaux de troie) qui au cours du deuxième semestre 2004 représentaient 33% des 50 principaux codes répertoriés par Symantec. Le groupe a également classifié 7.360 nouveaux virus Win32 et variantes de vers soit une progression de 64% par rapport au semestre précédent. Au 31 décembre 2004 le nombre total de menaces Win32 et de leurs variantes approchait les 17.500. Mozilla également visé… Du 1er juillet au 31 décembre 2004, Symantec a répertorié 21 vulnérabilités touchant les navigateurs Mozilla (Firefox et Mozilla) dont plus de la moitié étaient très graves. Pour la même période 13 vulnérabilités concernait Internet Explorer dont 62% qualifiées de dangereuses. La tendance s’est donc inversée par rapport à celle des précédents semestres où quasiment toute les vulnérabilités touchaient Internet Explorer de Microsoft. Tendances futures et émergentes Pour conclure, le rapport Symantec anticipent sur les menaces de demain. Les programmes et réseaux « bots » (automatisés ou robotisés) vont être de plus en plus utilisés pour des raisons d’économie: ils seront exposés à des attaques. Le nombre de codes malicieux visant les terminaux mobiles devrait augmenter. Les attaques de clients utilisant des vers et des virus comme moyens de propagation devraient s’accroître. De plus, Symantec s’attend à une augmentation des attaques cachées dans des fichiers audio et vidéo. Autre tendance, ceux qui traquent des vulnérabilités vont davantage s’intéresser aux systèmes Mac OS. Enfin, Symantec prévient que les risques liés aux logiciels espions et publicitaires vont encore s’accroître. La législation qui entrera en vigueur très prochainement ne sera pas assez efficace pour enrayer ces risques. Méthodologie du rapport

Symantec dispose de sources d’informations sur les menaces Internet permettant à ses analystes d’identifier les futurs dangers en matière d’attaques et de codes malicieux. -Le projet

DeepSight management system and manager security services/i>repose sur un réseau de plus de 20.000 sondes qui contrôlent l’activité des réseaux dans 180 pays. -Plus de 120 millions de clients, serveurs et passerelles utilisent les produits antivirus de Symantec et fournissent des rapports et des logs. -Une base de données sur les vulnérabilités réunit plus de 11.000 cas affectant plus de 20.000 technologies provenant de 2.000 fournisseurs et plus. -Symantec gère BugTraq, un forum où sont signalées et commentées les failles d’Internet, aussi bien pour le logiciel libre que les propriétaires. -Symantec Probe Network, système de plus de 2 millions de comptes mails « leurres » attire des messages e-mails de 20 pays différents, ce qui permet une évaluation des risques à l’échelle internationale.