Sécurité :le nombre de virus a doublé en 2007

L’éditeur finlandais F-Secure vient de publier son rapport annuel sur l’évolution des menaces entre 2006 et 2007. Bilan des courses, le nombre de menaces accumulées en 20 ans équivaut aujourd’hui au nombre de menaces détectées en seulement un an.

Le vecteur d’infection est passé des pièces jointes aux pages Web fournissant des fichiers, puis aux pages Web avec des liens vers ces fichiers. Ces fichiers sont également modifiés à la volée pour que l’infection s’ajuste en fonction de ses besoins.

D’après F-Secure, certains sites Storm ( lire nos articles ) utilisaient des iFrames pour proposer jusqu’à 16 versions différentes de Storm à des adresses IP aux États-Unis, plutôt que les 9 versions proposées à des adresses IP situées hors des USA. Storm est produit en Europe, mais ses techniques d’ingénierie sociale visent largement les États-Unis.

Durant le mois d’octobre, l’éditeur a noté l’existence des variantes de Storm utilisant des clés de sécurité. Ces clés permettent la segmentation du réseau de zombies en plusieurs espaces ouverts à la location. Il semble que les développeurs de Storm se préparent à vendre l’accès à leur réseau. En cette fin 2007, Storm conserve une solide position et n’utilise qu’une fraction de son potentiel.

Chevaux de Troie bancaires

Il existe un grand nombre de sites de ‘phishing‘ en ligne, la plupart étant probablement le produit de kits tels que Rock Phish. Il est aussi simple d’héberger une multitude de sites d’hameçonnage que d’en héberger un seul.

Cette facilité conduit à la saturation et à la réduction graduelle de l’efficacité duphishing. Les internautes deviennent également plus prudents face à ces tentatives de piratage. Lorsque des méthodes intelligentes d’ingénierie sociale sont utilisées, les victimes ne s’aperçoivent jamais qu’un cheval de Troie est présent sur leur machine. Les chevaux de Troie surveillent les activités sur les navigateurs (les URL notamment) à la recherche de mots clés bancaires. F-Secure prévoit une explosion des attaques « Man In The Middle » en 2008.

Un autre segment intéressant cette année a été les chevaux de Troie voleurs de mots de passe ciblant spécifiquement les jeux en ligne. Ces derniers deviennent de plus en populaires et le chiffre d’affaires qu’ils génèrent est en pleine croissance, les utilisateurs dépensant de plus en plus d’argent. Les chevaux de Troie Trojan-PSW:W32/OnlineGames ont été créés le 14 septembre 2006. En fin d’année 2006, ils avaient été détectés au moins 150 fois par les labs de F-Secure. Fin 2007, on en est à vingt mille détections !

Le faux codec Zlob et les DNSChangers

Zlob est un des logiciels nuisibles les plus efficaces de 2007. Il s’agit d’un logiciel-espion qui se fait passer pour un codec vidéo nécessaire à la visualisation de vidéos protégées contre la copie. Une fois installées, des variantes de Zlob affichent de faux messages d’erreur pour convaincre les utilisateurs d’acheter et d’installer de faux produits ‘antispywares’.

D’autres logiciels nuisibles de la famille Zlob, tels que DNSChanger, reconfigurent silencieusement les paramètres DNS de l’ordinateur. Le mécanisme DNS permet de convertir des URL compréhensibles par des humains en adresses IP compréhensibles par des ordinateurs. Une fois les paramètres DNS modifiés, ces outils sont capables de contrôler la destination des navigateurs.

Les créateurs de Zlob gagnent de l’argent en détournant les résultats des moteurs de recherche.

Les Hackers croquent la pomme

L’année 2007 est une réussite totale pour Apple. Leur matériel est plus populaire que jamais, ce qui implique un plus grand nombre de logiciels Apple installés. Des méthodes d’ingénierie sociale sont utilisées pour amener les utilisateurs à saisir leur mot de passe administrateur lors de l’installation. Du coup, la pomme est devenue une cible pour les « Black Hat ».

Persuader un utilisateur Mac de taper son mot de passe pour installer un codec vidéo ne pose pas de véritable problème à une technique d’ingénierie sociale intelligente, comme cela n’a d’ailleurs jamais été un gros problème pour les logiciels malveillants sur Windows. F-Secure a noté une augmentation des ‘DNSChanger’ sur Mac.

Lancé à la mi-juin, le navigateur Safari pour Windows a probablement contribué à ce développement. Des chercheurs ont découvert de nombreuses failles de sécurité dans la version bêta pour Windows. La plupart de ces failles étaient également présentes dans la version Mac.

Les sites Web fournissant des ‘DNSChangers’ déterminent le système d’exploitation et la version du navigateur utilisée par les internautes. La version appropriée du logiciel malveillant est alors fournie de manière dynamique.

lL’iPhone qui a été lancé fin juin aux États-Unis et au quatrième trimestre en Europe est devenu un outil très bien compris en l’espace de six mois seulement.

Il utilise une version de Mac OSX reposant sur Unix. L’iPhone intègre également le navigateur Safari. La compréhension de la sécurité sous Unix, les failles de Safari et son excellent design matériel mettent l’iPhone en point de mire.

De plus, l’iPhone étant un terminal « verrouillé », il offre une combinaison idéale de facteurs incitant bon nombre d’individus à rechercher ses failles. H.D. Moore a intégré la prise en charge de l’iPhone dans son framework Metasploit en septembre, facilitant ainsi les travaux de recherche sur les vulnérabilités de l’iPhone. Mac OSX 10.5, appelé Leopard, a été lancé fin octobre.

C’est un lancement majeur pour Apple. De nombreuses mises à jour de sécurité ont déjà été développées. Les résultats des recherches suggèrent que d’anciennes failles de sécurité aient pu être réintroduites dans cette version.

L’implémentation du nouveau pare-feu de Leopard a été critiquée. L’aura de sécurisation parfaite d’Apple s’estompe progressivement.

Une vidéo de Miko Hypponen, le patron des laboratoires de F-Secure est disponible sur ce lien.