RAPPORT SUR LES MENACES 2015 - F-Secure
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
RAPPORT SUR LES MENACES 2015
RÉSUMÉ SYNTHÈSE
2015 EN BREF
Voici quelques-uns des événements majeurs de l'année en matière de cyber sécurité.
08 Ce rapport décrit en détail l'éventail des cyber menaces auxquelles particuliers
VULNÉRABILITÉS
15/07 : Piratage de Hacking
et entreprises sont confrontés. En nous fondant sur des sources de 2015, nous
15/02 : Démantèlement exposons ici nos remarques concernant les cas connus de malware détectés
SÉCURITÉ DES
Team, divulgation de 15/07 : Rappels Ford, 15/08 : Google corrige la
POURSUITES
du botnet Ramnit par données en ligne Range Rover, Prius et faille de sécurité Android par les systèmes de renseignement anti-menace. Nous identifions par ailleurs
ATTAQUES
PRODUITS
Europol Chrysler pour cause de Stagefright
15/09 : Début du plusieurs évolutions et tendances clés dans ce domaine.
15/07 : Fermeture du nettoyage de l'App bug 15/08 : Amazon et
forum de piratage Store pour éradiquer 15/07 : Signalement de la Chrome abandonnent
Darkode par le FBI XcodeGhost faille Android Stagefright les pubs Flash Ce rapport introduit la « chaîne de contamination », un concept analytique
permettant d'aider les lecteurs, en particulier ceux qui travaillent dans le
domaine de la cyber sécurité et des technologies de l'information, à cerner
les combinaisons de tactiques et de ressources des pirates. Ce modèle a été
PRINCIPALES
FAMILLES DE
MALWARE
Njw0rm a été la nouvelle famille de
12 EFFRACTION DANS
LE JARDIN CLOS
Fin 2015, l'App Store d'Apple
a été victime d'une série d'incidents dus
18 PRÉSENTATION
DES DUKES
Les membres des Dukes
forment un groupe de cyber espionnage
20 appliqué à certaines des menaces les plus courantes en 2015 (kits d'exploitation,
ransomware et piratages DNS, entre autres) afin d'illustrer comment les cyber
criminels compromettent la sécurité des internautes.
malware prédominante en 2015. à l'utilisation d'outils infectés par des hautement spécialisé, extrêmement bien
organisé et doté de nombreuses ressources. Ce rapport contient également des éléments clés concernant le penchant
développeurs, créateurs malgré eux
d'applications malveillantes. Passant outre Ils travailleraient pour la Fédération de actuel des pirates pour les vers, les exploits et les macro-malware, mais aussi
le contrôle d'Apple, elles se sont immiscées Russie depuis au moins 2008 dans le but de le recours croissant aux crypto-ransomware par les racketteurs en ligne ainsi
Njw0rm dans sa plateforme et, de là, dans les recueillir des renseignements permettant que l'utilisation et l'efficacité grandissantes des kits d'exploitation visant les
Angler périphériques iOS d'internautes. d'influer sur les décisions prises en matière
de politiques de sécurité et d'affaires vulnérabilités Flash. De plus, il souligne l'importance des divers incidents de
étrangères. cyber sécurité survenus en 2015, notamment la découverte du bug XcodeGhost
dans l'App Store d'Apple et le démasquage des Dukes, un groupe de menaces
23 28
Gamarue avancées persistantes. Sans oublier certains signes laissant penser que la
Dorkbot CHAÎNE DE CHAÎNE DE rencontre entre géopolitique et cyber sécurité ouvre la voie à une course au
CONTAMINATION CONTAMINATION cyber armement.
Nuclear La chaîne de contamination Étapes
Kilim est un modèle axé sur les utilisateurs qui
illustre les combinaisons de tactiques et Les informations fournies sur les menaces observées à l'échelle mondiale sont
Ippedo de ressources utilisées pour infecter leurs étayées par des statistiques détaillées par pays et zones géographiques pour
Dridex périphériques et leurs réseaux. Il comporte les plus courantes d'entre elles. Il en ressort clairement que, si le monde entier
WormLink quatre grandes étapes : inception, est connecté via Internet, les pirates sont à même de développer et distribuer
intrusion, infection et invasion. INCEPTION des ressources leur permettant de cibler plus efficacement leurs victimes
Les redirecteurs sèment la panique parmi les particuliers et les entreprises.
aux USA et dans l'UE (p. 28)
INTRUSION
AnglerEK domine Flash
(p. 29)
INFECTION
L'ascension des
crypto-ransomware (p. 31) Auteurs
Edilberto Cajucom Laboratoire • Patricia Dacuno Threat Intelligence, Laboratoire • Karmina Aquino • Threat Intelligence,
MENACES PAR ZONE Laboratoire • Broderick Aquilino Malware Protection, Laboratoire • Alia Hilyati Antimalware Unit • Sarah Jamaludin Antimalware
GÉOGRAPHIQUE Unit • Adam Pilkey Global Communications & Brand • Melissa Michael Global Communications & Brand
L'Europe a été particulièrement INVASION
touchée par le kit d'exploitation Angler. Piratage DNS en 2015 : des
De plus, elle a fréquemment été la botnets, des téléchargeurs et des Contributeurs
cible de Trojan:JS/Redirector ainsi voleurs d'informations (p. 33)
Mikko Hypponen Laboratoire • Sean Sullivan Security Advisor • Andy Patel Technology Outreach • Zimry Ong Malware Protection,
15
que d'attaques par fichiers contenant
Downadup pourrait-il se refaire Laboratoire • Artturi Lehtiö Threat Intelligence, Laboratoire • Janne Kauhanen Cyber Security Services • Dariusz Jastrzebski Cyber
des macros qui téléchargent des une santé grâce à l'Internet des
ransomware. objets ? (p. 34) Security Services
02 03AVANT-PROPOS TABLE DES MATIÈRES
01 02
Avant, les conflits survenaient pour une question de frontières. Il y a bien
longtemps, nous érigions des remparts autour de nos villes pour nous
défendre. Ils nous protégeaient de nos ennemis. Au fil du temps, ces remparts
sont devenus plus hauts, plus longs, plus larges. Or, plus ils s'allongeaient et
s'élargissaient, plus ils se faisaient invisibles autour des zones de richesse,
de prospérité, de puissance et de croyance qu'ils délimitaient. Finalement, GÉNÉRALITÉS RÉTROSPECTIVE
ces remparts sont devenus des frontières qui sont restées l'objet de tous les
conflits pendant des siècles. L'époque était alors aux désirs de conquêtes 02 Résumé 08 2015 en bref
territoriales et de conversion religieuse des populations.
Les guerres et autres conflits ont toujours été alimentés par les technologies, 03 Synthèse 10 Résumé des menaces
comme celles de la poudre, des lames en acier et des avions de chasse. Ce 04 Avant-propos 10 Malware par type
sont immanquablement ces incroyables possibilités technologiques qui se
distinguent le plus durant ces périodes sombres. La guerre a toujours été un 05 Table des matières 11 Pays qui en signalent le plus
moteur de développement technologique, et inversement. 06 À noter 12 Principales menaces
C'est ainsi que la guerre froide a produit un effet collatéral : Internet. Cherchant 35 Conclusion 12 Principales familles de malware
à maintenir une chaîne de commandement en cas de guerre nucléaire, 36 Sources 12 Tendances des principales familles
l'armée américaine a conçu Internet dans ce but, comme une infrastructure
militaire. En développant Internet, l'humanité a ouvert la voie à une toute 40 Annexe 13 Principaux génériques et familles
nouvelle façon de se faire la guerre. Qui plus est, Internet n'est pas une zone
géographique et ne connaît pas de frontières. Cette création a ouvert la boîte
40 Rapports nationaux héritées
de Pandore dans un environnement dépourvu de délimitations tangibles, sans 47 Descriptions des menaces 13 Tendances des principaux
ennemis identifiables.
génériques et familles héritées
Par ailleurs, les anciens conflits étaient de nature symétrique, armée contre
armée. Aujourd'hui, la technologie guerrière a évolué. Nous ne savons plus qui 14 Malware Mac
sont nos ennemis ou ne sommes plus en mesure de les décrire ni d'identifier
leurs objectifs et leurs motivations. Nous nous lançons dans une bataille, 14 Malware Android
armés de technologies que nous ne maîtrisons pas complètement, contre 15 Menaces par zone géographique
des ennemis tapis dans l'ombre… et l'issue reste insondable. Contre qui nous
03 04
battons-nous ? Des pirates ? Le collectif Anonymous ? La mafia russe ? La
Corée du Nord ?
Les conflits sur Internet sont complexes. La seule chose dont nous pouvons
être sûrs, c'est que nous assistons au début d'une nouvelle course à
« NOUS NOUS
l'armement : une course au cyber armement.
LANÇONS DANS ÉTUDES DE CAS CHAÎNE DE CONTAMINATION
MIKKO HYPPÖNEN
Chief Research Officer
@mikko
UNE BATAILLE, 18 Effraction dans le jardin clos 23 Un modèle axé sur les utilisateurs
ARMÉS DE 20 Présentation des Dukes 24 Étape par étape
TECHNOLOGIES 25 Principales menaces par étape
26 Njw0rm
QUE NOUS NE 27 CosmicDuke
MAÎTRISONS PAS 28 Étapes
COMPLÈTEMENT, 28 Inception
CONTRE DES 29 Intrusion
ENNEMIS TAPIS 31 Infection
DANS L'OMBRE » 33 Invasion : Infiltration
34 Invasion : Infestation
04 0507
À NOTER
Flash : Le dernier des maillons faibles
Les exploits malveillants sont monnaie courante depuis plus de 10 ans. Tant et si bien qu'en
2006 les analystes de l'Institut InfoSec ont commencé à appeler plaisamment « Exploit
Wednesday » le lendemain du « Patch Tuesday » de Microsoft. Tout reposait sur la réactivité.
Le mardi, Microsoft livrait ses mises à jour, que les pirates disséquaient rapidement dans la foulée
pour en identifier les vulnérabilités sous-jacentes. Armés de ces informations, ils créaient alors un
exploit à intégrer à leurs malware visant les internautes qui n'avaient pas encore mis leur système à
02
jour.
RÉTROSPECTIVE
Fin 2006, les malware se sont encore plus démocratisés avec l'arrivée des kits malveillants. Les
premiers de ces kits, comme MPack, furent victimes de leur succès : pas assez évolutifs, ils furent
en effet incapables de satisfaire une demande en constante augmentation. Toutefois, les services
malveillants ont bien vite pris la relève et les marchés noirs du web proposent maintenant de
nombreux kits d'exploitation.
Aujourd'hui, fini l'« Exploit Wednesday ». Le logiciel Microsoft [1] est nettement plus sûr qu'il y a
10 ans et s'accompagne d'un déploiement accéléré des correctifs. C'est désormais Adobe que les
kits d'exploitation prennent pour cible. Le programme Reader en a particulièrement fait les frais un
certain temps (Flash aussi), avant de devenir quasi superflu avec l'avènement de la prise en charge
des PDF en natif dans plusieurs navigateurs. Adobe a alors adopté des cycles de mise à jour stricts qui
ont mis Reader à l'abri un moment. Le plug-in pour navigateur Java, maillon faible de la chaîne, est
08 2015 en bref
ensuite devenu la cible privilégiée des attaques. Les développeurs l'ont alors plus ou moins restreint 10 Résumé des menaces
à de très rares utilisations.
11 Pays qui en signalent le plus
Donc, à présent… le lecteur Flash d'Adobe est le dernier plug-in offrant la meilleure prise aux kits
d'exploitation. Mais pour combien de temps ?
11 Malware par type
Le 29 avril 2010, Steve Jobs a publié une lettre ouverte intitulée Thoughts on Flash (Pensées sur Flash)
12 Principales menaces
expliquant pourquoi Apple ne voulait pas de Flash sur ses périphériques iOS. Selon de nombreux 12 Principales familles de malware
analystes technologiques, cet événement a signé le début de la fin pour Flash Player, au moins sur
les appareils mobiles. C'est désormais avéré. Le 28 juin 2012, Adobe a annoncé que la certification
12 Tendances des principales familles
Flash Player ne serait pas disponible sur l'Android 4.1 et qu'il limiterait ses installations via Google Play 13 Principaux génériques et familles héritées
à partir du15 août 2012 [2].
13 Tendances des principaux génériques et familles héritées
Depuis, le lecteur Flash tient bon sur le marché des ordinateurs de bureau, mais il est critiqué de toute
part. Ainsi, en août 2015, Amazon a annoncé qu'il n'accepterait plus les publicités en Flash à compter
14 Malware Mac
du 1er septembre 2015. Google a suivi le mouvement en février 2016. Dans cette optique, AdWords et 14 Malware Android
DoubleClick, ses réseaux publicitaires, n'afficheront plus de publicités en Flash à partir du 30 juin 2016.
Elles y seront complètement désactivées à partir du 2 janvier 2017.
15 Menaces par zone géographique
À ce stade, j'avancerais une prévision pour début 2017 : dès qu'il pourra se passer de prendre en charge
les publicités en Flash, le navigateur Google Chrome commencera à forcer les internautes à autoriser
tous les sites nécessitant la technologie Flash et sera suivi de près par Mozilla Firefox et Microsoft
Edge. Ainsi, d'ici le printemps 2017... Flash ne sera plus d'aucune utilité aux kits d'exploitation.
Les kits d'exploitation ont un avenir chaotique devant eux, sans nouvelle cible prometteuse à
l'horizon. Les services malveillants, toujours plus répandus, intensifieront leurs envois de pièces
jointes, comme le macro-malware qui fait fureur actuellement.
Si seulement nous perdions le réflexe de cliquer sur « OK » pour nous débarrasser des boîtes de
dialogue…
SEAN SULLIVAN
Security Advisor
@5ean5ullivan
1
À l'exception de Silverlight, actuellement cible de kits d'exploitation. Heureusement, Silverlight devrait bientôt disparaître puisque Netflix s'en détourne.
2
Ironie du sort, bon nombre de malware s'insinuent dans les appareils Android par le biais de publicités trompeuses pour une mise à jour Flash obligatoire. Même
en l'absence de lecteur Flash, l'habitude mène parfois à l'ingénierie sociale. Les chercheurs de Google ont commencé à configurer le navigateur Chrome de façon à
signaler les sites affichant ce type de publicité.
06 072015 EN BREF
Octobre
[ L'année 2015 s'est révélée mouvementée en matière de sécurité et de confidentialité en ligne. Voici
quelques-uns des événements majeurs survenus qui influeront sur les interactions des internautes
et leur rapport à la technologie. Nos sources sont répertoriées à la page 36. ]
USA - CISA : Adoption Octobre Décembre
INTERNATIONAL
Octobre par le Sénat malgré des USA - DMCA : Chine : Inquiétudes
Août Septembre inquiétudes Novembre
UE/USA : Davantage de produits au sujet de la loi
USA : Sanctions prévues Chine/USA : Entretien Invalidation de USA : Fin des écoutes antiterrorisme
contre la Chine pour de « piratage légal »
cyber sécurité avant la l'accord Safe Harbor téléphoniques massives
cyber vol visite officielle de la NSA
Octobre
Février Juillet Perturbation de Octobre Octobre Octobre Octobre
Juillet Démantèlement Fermeture du l'activité du kit Chine : Arrestation UE : Raids policiers USA : 4,5 ans de prison R-U/USA :
du botnet Ramnit forum de piratage d'exploitation de pirates sur liés au malware pour le créateur du Inculpation du
Chine : Mise à jour par Europol Darkode par le FBI Angler requête des USA DroidJack botnet Citadel créateur du
des lois relatives au botnet Dridex
contrôle d'Internet
SÉCURITÉ POURSUITES
NUMÉRIQUE
Juillet Septembre
Piratage de Hacking Décembre
ATTAQUES Team, divulgation de
Attaque DDoS
« lancée depuis des Signalement
VIE EN LIGNE
données en ligne pubs sur mobile » d'attaques DDoS sur
Septembre des serveurs turcs
Début du
nettoyage de
l'App Store
pour éradiquer Septembre
Mars
Juillet XcodeGhost
Développement Malware Turla
Montée des des outils de « en contact C&C
ransomware par satellite » Septembre
cyber criminalité Identification de
des Dukes
MALWARE nouveaux outils
des Dukes
Août Août Août Octobre Octobre
SÉCURITÉ DES PRODUITS Google lance les mises Google corrige la Amazon et Chrome Retrait de bloqueurs Correction de plusieurs
à jour de sécurité Nexus faille de sécurité abandonnent les de pub dépassant les failles par les mises à
mensuelles Android Stagefright pubs Flash limites de l'App Store jour Apple
PARTICULIERS
VULNÉRABILITÉS Août
Signalement de la Juillet Août Août Septembre
Juillet faille Certifi-gate Septembre
Signalement de sur Android Signalement d'un exploit Rappels Ford, Sortie du Démonstration Envoi postal
la faille Android déjouant Gatekeeper sur Range Rover, Prius correctif de piratage Chrysler de
Stagefright Mac OS X et Chrysler pour antipiratage d'une Corvette clés USB avec
cause de bug OTA pour la par des correctif
Tesla Model S chercheurs logiciel
Mars Octobre
Détection de Signalement de
la faille FREAK la faille Android
sur Android et Stagefright 2.0
Windows
08 09RÉSUMÉ DES MENACES
Si la typologie des menaces observées en 2015 reprenait Ils s'en prennent toujours aux particuliers et entreprises qui Démasquage des Dukes
plusieurs tendances relevées en 2014, elle affichait également utilisent des logiciels dépassés ou non corrigés (par exemple, les Les APT sont des programmes perfectionnés, en général conçus
des divergences significatives. La surprise est notamment exploits WormLink leur demandent d'ouvrir un fichier contenant spécifiquement dans le but de s'insinuer et rôder en toute
un code qui exploite une vulnérabilité). Comme en 2014, ils ont discrétion dans les réseaux et les systèmes d'exploitation. Ces
venue du retour des macro-malware qui avaient disparu
depuis le début des années 2000. Par ailleurs, la proportion
MALWARE PAR TYPE constitué 8 % du total des détections de malware. Toutefois, menaces silencieuses visent les entreprises qui traitent des
des vers dans le nombre total de détections de malware a leur contenu malveillant (entre autres, des ransomware) s'est affaires ou des informations de production confidentielles. En
2015 diversifié et aggravé : il est donc plus que jamais nécessaire 2015, le Laboratoire F-Secure a publié un livre blanc exposant
BACKDOOR
AUTRES
DE TROIE
EXPLOIT
VIRUS
augmenté, ce qui est en grande partie dû à l'émergence de
CHEVAL
de mettre à jour ses logiciels dès la publication de nouveaux le groupe de cyber espionnage à l'origine de cette menace :
VER
diverses familles dans certaines régions du monde.
correctifs de sécurité. les Dukes, créateurs d'une série d'outils utilisés depuis 2008 et
Toutefois, les exploits et kits d'exploitation restent parmi
les menaces les plus répandues auxquelles particuliers et
67 18 8 6 1 1 Macro-malware
développés en continu au cours de ces sept dernières années.
Leurs outils (CozyDuke, MiniDuke, HammerDuke et SeaDuke,
entreprises sont confrontés en Europe comme en Amérique 2014 L'année 2015 nous a offert une évolution intéressante avec
BACKDOOR
VIRUS
DE TROIE
AUTRES
EXPLOIT
CHEVAL
du Nord. Non seulement ils sont fréquemment détectés, mais le retour des macro-malware. Ces documents contenant du entre autres) intègrent tous des fonctions variées telles que le vol
VER
certains indicateurs ont démontré en 2015 que leurs capacités code malveillant dissimulé ont marqué la fin des années 1990 et de mots de passe, l'ouverture d'une backdoor et le lancement
ne cessent de s'étoffer et de s'étendre à de nouveaux vecteurs
d'attaque. Le nombre de ransomware « Gendarmerie » a
73 10 8 6 1 1
le début des années 2000. Mais lors du lancement de la suite
Office 2003, Microsoft a modifié les paramètres de sécurité par
défaut pour empêcher l'activation automatique des macros à
d'attaques par déni de service distribué (DDoS – Distributed
Denial of Service).
diminué en 2015, contrebalancé par l'activité croissante 2013
BACKDOOR
AUTRES
DE TROIE
EXPLOIT
VIRUS
Bien qu'il soit peu probable que le commun des internautes
CHEVAL
de plusieurs familles de crypto-ransomware (voir page 31) l'ouverture d'un document, compliquant considérablement la
VER
tâche des pirates. le rencontre un jour, cet arsenal très ciblé concerne plus
opérant par le biais de kits d'exploitation et de macro-
malware.
Par ailleurs, les autorités gouvernementales et les grandes
63 12 11 9 4 1 Pourtant, à partir de juin 2015, les macro-malware ont retrouvé
une place de choix dans les rapports de télémétrie. Loin de
précisément et plus directement ceux qui sont liés à des sociétés
ou des organes gouvernementaux présentant un intérêt pour
les Dukes.
POURCENTAGES DES DÉTECTIONS DE
entreprises s'intéressent de près aux menaces avancées MALWARE SIGNALÉES figurer parmi les menaces prédominantes, ils ont néanmoins fait
persistantes (APT – Advanced Persistent Threats), bien Les vers ont significativement gagné en ampleur leur petit effet dans plusieurs pays d'Europe. Ils se propagent
qu'elles n'affectent pas la plupart des internautes. En 2015, en 2015 par rapport aux deux années précédentes. principalement grâce aux pièces jointes des e-mails et utilisent
le Laboratoire F-Secure a publié un livre blanc présentant des techniques d'ingénierie sociale pour pousser les internautes
en détail les outils utilisés par les Dukes. Nous pensons à ouvrir les documents et à activer les macros, ce qui entraîne
que ce groupe de cyber espionnage hautement spécialisé, Considérés comme un type de menace au sens large, les vers l'exécution du code malveillant. PAYS QUI EN SIGNALENT LE PLUS
extrêmement bien organisé et doté de nombreuses ressources ont significativement gagné en ampleur l'an dernier. En 2015,
travaille pour la Fédération de Russie depuis au moins 2008 les familles de vers représentaient en effet 18 % du total des Les macro-malware et les exploits se ressemblent de par leur
dans le but de recueillir des renseignements permettant détections de malware, contre 12 % en 2013 et 10 % en 2014. intention commune, à savoir attaquer en vue d'injecter du Danemark Finlande
d'influer sur les décisions prises en matière de politiques de Toutefois, à l'exception du tristement célèbre ver Downadup contenu malveillant. En 2015, il s'agissait notamment de graves Royaume-Uni
(prédominant partout dans le monde), la plupart de ces menaces telles que le cheval de Troie bancaire Dridex et de Irlande Portugal
sécurité et d'affaires étrangères.
Japon
crypto-ransomware tels que CryptoWall. Canada Bulgarie États-Unis
familles ont seulement été repérées en Asie, au Moyen-Orient Autriche Espagne
Vers et, dans une moindre mesure, en Amérique du Sud. Malgré
Taïwan Turquie Maroc
Chili
Chine
Éternel leader du classement des détections de menaces, le Malware Android
cette poussée, le cheval de Troie (par exemple, Gamarue ou En 2015, l'écosystème Android a vu Slocker s'élever au rang des
Colombie
Thaïlande Brésil Corée du Sud
vieillissant Downadup (alias Conficker) a conforté à lui seul les
Suède Singapour
Kilim) est resté le type de malware le plus souvent rencontré menaces prépondérantes. Même si les principaux chevaux de Hong Kong
vers dans une position prédominante. En parallèle, leur visibilité en 2015.
EAU Iran Argentine
Oman
Troie envoyeurs de SMS sont restés très présents, notamment Grèce
Estonie Australie Norvège
s'est trouvée globalement accrue grâce à l'émergence de
en France, la popularité croissante de Slocker marque un
Ukraine Hongrie
plusieurs familles parvenues à se propager dans les réseaux de Exploits et kits d'exploitation
Afrique du Sud Italie
tournant dans le domaine des malware mobiles, qui ciblent France
Très présents en 2015, les exploits se sont montrés actifs dans
certaines régions du monde.
maintenant davantage le contenu stocké sur les périphériques. Roumanie
Russie Pologne
plusieurs pays. Le kit d'exploitation Angler s'est particulièrement
La plus remarquable de ces nouvelles familles est Njw0rm, illustré dans diverses régions du monde, régnant au Royaume- L'action des backdoors (dont CoudW) indique également une Belgique
Philippines
Mexique Suisse
Équateur Allemagne
évolution accrue des types de contamination visant les systèmes
ÉgypteCroatie
un ver VBS qui s'infiltre via des lecteurs amovibles, des pièces Uni, en Suède et en Australie.
jointes malveillantes à des e-mails et des téléchargements à la d'exploitation par rapport aux années précédentes.
S'il disposait de l'arsenal le plus complet d'exploits déployé
dérobée. Essentiellement conçu pour voler des informations, il
Tunisie
Malaisie
a la capacité d'ouvrir des backdoors. Njw0rm a vu ses détections l'an dernier, sa réussite (et celle des kits d'exploitation en Mac et iOS
Inde
général) semble en partie due à son utilisation de plus en plus Les backdoors représentaient le type de malware le plus souvent
nettement augmenter au second semestre 2015 par rapport au
détecté sur les systèmes d'exploitation Apple en 2014, ce qui
Pays-Bas
premier, mais son action a été largement suffisante pour en faire efficace de différents vecteurs d'attaque. La prédominance des
Slovénie
Serbie
signalements de la détection générique Trojan:JS/Redirector offrait un contraste intéressant à la domination sans partage des
République Tchèque
la nouvelle famille de malware la plus importante de l'année.
en apporte la preuve. Les pirates introduisent ce type de cheval chevaux de Troie sur Windows et Android.
Sri Lanka
Le ver Dorkbot a, lui aussi, fait des dégâts. Il affiche de de Troie sur des sites web légitimes afin de rediriger leurs
nombreuses caractéristiques en commun avec Njw0rm. Tous En 2015, l'écosystème Apple a subi sa plus terrible attaque à
visiteurs vers d'autres sites hébergeant des kits d'exploitation, ce jour. En effet, durant l'« incident XcodeGhost », des pirates
deux s'insinuent par le biais de lecteurs amovibles. Tous deux notamment Angler et Nuclear. Cette attaque a été si répandue
ouvrent des backdoors, volent des informations et peuvent sont parvenus à s'introduire dans le très sécurisé App Store
l'an dernier qu'elle s'est vu décerner le titre peu glorieux de en infectant des copies de Xcode, l'outil de développement
communiquer avec des serveurs distants afin de recevoir des menace principale en Suisse et au Danemark.
instructions complémentaires de la part des cyber criminels. d'applications d'Apple, disponibles sur des forums de
téléchargement public chinois. Ce faisant, ils ont réussi à insérer L'illustration ci-dessus représente le volume des
Toutefois, Dorkbot est aussi capable de se propager en De leur côté, les vulnérabilités Flash ont grandement contribué signalements de détections que nous avons reçus pour
intégrant des liens malveillants à des messages instantanés ou à la réussite des exploits, et ce même indépendamment des kits du code malveillant dans des applications qui étaient ensuite chaque pays par rapport à sa population d'internautes
sur les réseaux sociaux. d'exploitation. En effet, les exploits identifiés par la détection proposées sur l'App Store. (ceux qui utilisent nos produits de sécurité).
générique Exploit:SWF/Salama ont compté parmi les menaces Ces pirates ont tiré parti de la situation toute particulière de
Troisième nouvelle famille remarquée, Ippedo a fait l'objet d'un les plus présentes, notamment en Europe et aux États-Unis. Bien Par exemple, malgré son grand nombre d'internautes,
assez grand nombre de signalements pour entrer dans la liste la Chine, où les développeurs qui ont du mal à accéder aux peu de signalements nous sont parvenus de la Finlande
qu'elles ne jouissent pas de la même ampleur qu'Angler, ces serveurs de téléchargements d'Apple situés à l'extérieur du pays
des principales menaces de 2015. Il s'agit là encore d'un voleur deux types d'attaques ont ciblé le nombre apparemment infini comparativement à Oman, qui conjugue vaste
d'informations distribué via des lecteurs amovibles. Cependant, se tournent vers des sources locales pour obtenir une copie de population d'internautes et taux de détection élevés.
d'internautes qui exécutent des versions vulnérables de Flash. l'outil souhaité. C'est ce qui a permis que leurs applications, ainsi
il ne semble pas capable de se propager par d'autres moyens,
ce qui réduit considérablement son importance par rapport aux Dans l'ensemble, la menace représentée par les exploits n'a infectées, arrivent sur l'App Store.
autres familles. pas énormément évolué par rapport aux années précédentes.
10 11PRINCIPALES
MENACES Njw0rm
ver Angler
kit d'ex-
PRINCIPAUX GÉNÉRIQUES ET
FAMILLES HÉRITÉES Trojan.LNK.Gen
ploitation Certains malware persistent durant des années. Ils Sality
PRINCIPALES FAMILLES forment des « familles héritées » dont la longévité bot
DE MALWARE s'explique de multiples manières, notamment par
l'infection de nouveaux internautes ou l'altération d'un
malware existant afin de réattaquer les mêmes cibles.
En général, deux programmes malveillants qui Gamarue Exploit: Trojan:
partagent un code ou un comportement spécifique cheval de Certains malware échappent aux détections de famille, Java/ W32/
sont considérés comme membres d'une même famille.
Troie Dorkbot mais pas aux détections génériques qui recherchent des
Majava Downadup Autorun
Les logiciels de sécurité repèrent souvent les différentes ver caractéristiques globalement similaires. Trojan: ver
menaces d'une famille au moyen d'une détection qui
identifie leurs caractéristiques communes.
Les principales menaces observées en 2015 sont
W97M/
Malicious (Conficker)
Nuclear répertoriées à droite. Elles comprennent aussi bien Macro Exploit:
SWF/
Les principales menaces observées en 2015 qui kit d'ex- Ramnit
appartenaient à des familles distinctes de malware
ploitation Kilim les familles héritées que les détections génériques
(identifiées par leur nom complet). La taille des bulles
Salama
bot
sont répertoriées à droite. La taille des bulles est cheval de est proportionnelle à leur pourcentage du total des Worm:
proportionnelle à leur pourcentage du total des Troie W32/
détections de malware par nos produits de sécurité sur Ippedo détections de malware par nos produits de sécurité sur
l'ensemble de l'année. Kataja Trojan:
l'ensemble de l'année. Dridex ver JS/
Redirector
cheval de
Troie-télé-
chargeur Worm- TENDANCES DES PRINCIPAUX
Link GÉNÉRIQUES ET FAMILLES HÉRITÉES
exploit
1,2 Sur ce graphique, les zones colorées représentent
les détections génériques, tandis que les lignes
TENDANCES DES représentent les familles de malware. Alors que
Trojan.LNK.Gen a sensiblement reculé à l'automne,
PRINCIPALES FAMILLES la progression des chevaux de Troie en juin marque le
grand retour des macro-malware.
Les principales familles présentées ont connu des pics d'activité manifestes tout au long de l'année 1,0
POURCENTAGE DU TOTAL DES DÉTECTIONS
2015. Les détections de nouvelles familles de vers ont enregistré une hausse significative au second
semestre. Les variations de leur prédominance respective sont attribuables à plusieurs causes, par
DE MALWARE SIGNALÉES EN 2015
exemple la distribution plus active des malware par le biais de campagnes de hameçonnage ou un
changement dans la logique de détection d'une famille spécifique.
0,8
0,6
Njw0rm 0,6
ver
POURCENTAGE DU TOTAL DES DÉTECTIONS
Downadup ver
(Conficker)
DE MALWARE SIGNALÉES EN 2015
0,4 Dorkbot 0,4
ver
Gamarue
cheval de
Troie 0,2 Sality bot
Angler
0,2 kit Ramnit
d'exploitation bot
Ippedo
ver 0,0
JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC
WormLink
exploit MOIS (2015)
0,0
Trojan.LNK.Gen Trojan:W32/Autorun Trojan:JS/Redirector Worm:W32/Kataja
JANV FÉV MARS AVR MAI JUIN JUIL AOU SEP OCT NOV DEC (cheval de Troie
« raccourcis ») Exploit:SWF/Salama Exploit:Java/Majava Trojan:W97M/
MOIS (2015) MaliciousMacro
12 13MALWARE MAC EUROPE
58+42+x 58 % (67 ÉCHANTILLONS)
BACKDOOR
115
ÉCHANTILLONS
DISTINCTS
MENACES PAR ZONE
GÉOGRAPHIQUE
Bien que les dix principales menaces se soient peu ou prou retrouvées
dans pratiquement tous les pays en 2015, les rapports de télémétrie
des internautes qui utilisent nos produits dans chaque région du
monde présentaient des profils de menaces distincts. L'Europe a été
particulièrement touchée par le kit d'exploitation Angler. De plus, elle a
fréquemment été la cible du cheval de Troie Trojan:JS/Redirector ainsi
La disponibilité du code source
pourrait en partie contribuer à que d'attaques par fichiers contenant des macros qui téléchargent des
la proportion considérable des ransomware. Certains pays d'Europe ont signalé des taux élevés de
Nombre de malware Mac reçus menaces particulières.
backdoors parmi les menaces de 109
visant Mac OS X. 115
JANVIER à DÉCEMBRE 2015 100
13+87+x
97
88
13 % (15 ÉCHANTILLONS)
CHEVAL DE TROIE
74 TOTAL DES ÉCHANTILLONS
Suède
Signalement des kits d'exploitation
(DEPUIS JANVIER) Angler et Nuclear, ainsi que de
73 % du total des échantillons Danemark Trojan:JS/Redirector comme menaces
de chevaux de Troie les plus fréquentes.
appartiennent à la famille Signalement de Trojan:JS/
Flashback, un groupe de Redirector, d'Exploit:W32/
33 35 OfficeExploitPayload et d'Angler
malware qui téléchargent 28
des fichiers malveillants en se comme menaces les plus
19 NOMBRE D'ÉCHANTILLONS fréquentes. Finlande
connectant à un site distant. REÇUS PAR MOIS
2+98+x
7 10 Signalement d'un nombre élevé
de détections de Trojan:JS/
1EXPLOIT
% (1 ÉCHANTILLON) Redirector, ainsi que des
menaces Downadup et Angler.
7 3 9 9 5 2 39 14 9 3 9 6 Royaume-Uni
Exploit:OSX/CVE-2009-1237 Nombreux signalements du
tire parti d'une vulnérabilité kit d'exploitation Angler, de
JANV
FÉV
MARS
AVR
MAI
JUIN
JUIL
AOU
SEP
OCT
NOV
DÉC
ancienne, possible cause de Trojan:W97M/MaliciousMacro
déni de service. et de Trojan:JS/Redirector.
28+72+x 28 % (32 ÉCHANTILLONS)
AUTRES
Les autres menaces repérées
comprennent les applications
Pologne
Signalement de Trojan:W32/Autorun et du
kit d'exploitation Angler comme menaces
les plus fréquentes. Seul pays avec présence
significative du virus Virtob.
potentiellement indésirables
(API). Allemagne
MALWARE ANDROID Signalement d'un nombre élevé
Le TOP 10 DES MALWARE ANDROID représente 25 % du de détections de Downadup,
25+75+N
total des malware Android détectés en 2015. d'Exploit:W32/OfficeExploitPayload
2,5 % et de Trojan:JS/Redirector.
2
15 % SLOCKER 2,3 %
25 % 1 3
SMSSEND CHEVAL DE TROIE FAKEINST
CHEVAL DE TROIE Chiffre des fichiers CHEVAL DE TROIE
Envoie des SMS à des image, texte et vidéo, Ressemble à un programme
numéros surfacturés à puis exige une rançon d'installation d'une
l'internaute. pour déverrouiller application populaire, mais
les périphériques et envoie en fait des SMS à Autriche
déchiffrer les fichiers. des numéros ou services Seul pays signalant une présence
TOP 10 DES MALWARE ANDROID
surfacturés. significative du cheval de Troie
1,7 % 0,5 % bancaire Banker. Détections
4 5 6 7
GINMASTER GINGERBREAK 1,2 % SMSPAY DROIDROOTER 0,5 % fréquentes des chevaux de Troie
CHEVAL DE TROIE EXPLOIT CHEVAL DE TROIE EXPLOIT FakePDF Trojan:JS/Redirector.
Vole des informations Exploite une vulnérabilité Envoie des SMS à des Accède aux privilèges France
confidentielles sur les des systèmes Android numéros surfacturés à racine. Sert aussi d'outil de Seul pays signalant un nombre
périphériques touchés et antérieurs à la version l'internaute. piratage si délibérément significatif de chevaux de Troie
les communique à un site 2.34 en vue d'accéder exécuté, en vue d'une SmsSend sur Android. Détections Suisse
web distant. aux privilèges racine des prise de contrôle racine. fréquentes de Downadup et Signalement de Trojan:JS/Redirector
0,4 % périphériques touchés. Trojan:JS/Redirector. et du kit d'exploitation Angler
essentiellement, avec Exploit:SWF/
8
DIALER 0,3 % 0,2 %
Salama comme troisième menace la
9 10
CHEVAL DE TROIE SMSKEY COUDW
Affiche constamment une CHEVAL DE TROIE Italie plus fréquente.
CHEVAL DE TROIE
page plein écran à caractère Envoie des SMS à des Ouvre une backdoor qui Seul pays signalant une présence
pornographique qui exhorte numéros surfacturés à permet aux pirates de significative du malware de vol bancaire
l'internaute à composer un l'internaute. prendre le contrôle des Expiro. Détections fréquentes de
numéro de téléphone. périphériques touchés. Downadup et Trojan:W32/Autorun.
14 15RESTE DU MONDE
Des rapports de télémétrie concernant
d'autres régions que l'Europe ont fait état
Japon d'une plus grande variété de malware,
Outre la constante présence certains pays apparaissant plus touchés que
de Downadup, les internautes la moyenne par un type particulier dans leur
ont le plus souvent signalé zone géographique.
des détections d'Angler et de
Trojan:W32/Autorun.
Asie
Les internautes ont le plus souvent
été victimes de fichiers de raccourcis
malveillants ainsi que des vers Downadup
et Njw0rm. Les menaces liées aux botnets
(Sality et Ramnit) ont aussi fait l'objet de
signalements fréquents.
Inde
Le ver Downadup a été la menace la
plus souvent signalée, suivie par le
bot Sality et le ver Njw0rm. Moyen-Orient
Le ver Downadup reste la menace
la plus fréquemment signalée,
03
Amérique du Nord suivie par les fichiers de raccourcis
malveillants et le ver Njw0rm.
ÉTUDES DE CAS
La menace prédominante est le kit d'exploitation
Angler, suivi par les exploits Salama qui ciblent les
vulnérabilités Flash Player. Oman
Les internautes ont signalé la
présence significative des vers
Njw0rm et Dorkbot, ainsi que
de Worm:W32/Kataja.
États-Unis
Les internautes ont signalé la
prédominance du kit d'exploitation
Angler et d'Exploit:SWF/Salama, suivis 18 Effraction dans le jardin clos
par Trojan:JS/Redirector.
20 Présentation des Dukes
Afrique
Les signalements les plus
courants concernent les
fichiers de raccourcis
malveillants, suivis par ceux du
ver Ippedo et du bot Sality.
Brésil
Outre la constante présence de
Downadup, les internautes ont signalé la
prépondérance de Trojan:JS/Redirector Océanie
et du kit d'exploitation Angler.
Les fichiers de raccourcis
malveillants et Angler ont fait
l'objet du plus grand nombre
de signalements. Les exploits
Amérique du Sud WormLink se sont également
distingués.
Les fichiers de raccourcis
malveillants constituent
les malware les plus
courants, talonnés par
les vers Downadup et Australie
Njw0rm. Le kit d'exploitation Angler,
les exploits WormLink et
Trojan:W97M/MaliciousMacro
ont été les menaces les plus
signalées.
16 17EFFRACTION
DANS LE
JARDIN CLOS
CONTAMINATION
AU STADE DE DÉVELOPPEMENT
À l'heure actuelle, la plupart des attaques visent les Les chercheurs des entreprises Weibo, Alibaba et Palo Alto
APPLE SOURCE TIERCE
internautes. Les pirates aiment notamment les piéger de Networks, notamment, ont identifié la source du problème,
façon à leur faire télécharger et installer eux-mêmes des à savoir une version contaminée de l'outil de développement PIRATE
malware à leur insu (cette tactique est connue sous le nom Xcode d'Apple. Disponible gratuitement sur les serveurs de
d'« ingénierie sociale »). Ils affectionnent également une la société, Xcode sert à compiler des applications destinées
autre méthode, pourtant techniquement complexe, qui aux plateformes iOS et Mac OS X. Toutefois, comme c'est le
consiste à exploiter des failles ou des lacunes permettant cas pour de nombreux autres programmes commerciaux ou
d'infecter discrètement les périphériques des internautes. d'entreprise, des services de partage de fichiers en proposent
Ces points faibles se trouvent en général au sein d'une des copies téléchargeables aux développeurs qui, pour une
Données
application ou d'un appareil. Ils sont plus rarement le fait raison quelconque, n'ont pas accès à la plateforme officielle. collectées
d'un programme, d'un processus ou d'un système sans
Selon les journalistes, la connexion Internet au reste du monde
rapport direct avec l'internaute touché.
étant ce qu'elle est en Chine continentale, l'accès aux serveurs
Cependant, certains pirates préfèrent les chemins détournés. situés à l'extérieur du pays se trouve nettement ralenti, surtout
Ainsi, fin 2015, l'App Store d'Apple a enregistré une série pour y télécharger des fichiers volumineux (environ 3,5 Go
d'incidents mettant en évidence les ramifications possibles pour la dernière version de Xcode). Cette difficulté a incité DÉVELOPPEURS Appli propre APP DÉTENTEURS
des attaques qui obéissent à une autre tactique : le ciblage de nombreux développeurs à se servir de copies de l'outil D'APPLIS STORE D'APPLICATIONS
des développeurs. Ces incidents résultaient de l'utilisation hébergées sur des serveurs situés en Chine. Malheureusement,
d'outils infectés par des développeurs, qui avaient ainsi créé des lignes de code avaient été ajoutées à certaines d'entre
à leur insu des applications au comportement malveillant. elles. Lorsque les développeurs compilaient leurs applications
Celles-ci ont réussi à passer outre les procédures de contrôle respectives à l'aide du programme Xcode contaminé, ce code
de code d'Apple pour s'immiscer dans la plateforme et, de supplémentaire s'y introduisait discrètement à leur insu.
là, dans les périphériques iOS standard des internautes.
Le code supplémentaire visait à communiquer des
informations stockées sur les périphériques touchés à un Appli + code
serveur distant. Cependant, les chercheurs ont vite remarqué malveillant
RETRAIT DES APPLICATIONS XCODEGHOST DE qu'il n'existait aucune trace de dommage ni de vol de données
L'APP STORE effectif. Il a néanmoins été recommandé aux internautes
Apple soumet tous les programmes qui lui sont proposés à un ayant téléchargé des applications infectées de les supprimer
mécanisme de contrôle rigoureux avant de les ajouter à son de leurs appareils ainsi que de changer leurs données de
référentiel de logiciels, réputé merveilleusement exempt de connexion aux comptes de messagerie ou de réseaux sociaux
comportement malveillant. Le tout premier malware détecté associés à ces applications en attendant que les développeurs
sur l'App Store en 2012 [1] était l'application Find & Call, qui en fournissent une version propre. des publicités. Là encore, les développeurs ignoraient que Aujourd'hui, la plupart des détenteurs d'appareils mobiles
utilisait les coordonnées stockées sur l'appareil touché pour leurs créations étaient infectées de façon à passer outre les ne prêtent plus trop attention à l'avertissement standard :
envoyer du courrier indésirable. Au cours des trois années strictes procédures de sécurité et de confidentialité mises en « Méfiez-vous des boutiques d'applications tierces ».
suivantes, seuls deux ou trois incidents relativement mineurs place par Apple. Bien que la société n'ait pas précisé le nombre Manifestement, les développeurs ne sont pas plus à l'abri
se sont produits et les applications non conformes aux règles
AUTRE VICTIME : LA PLATEFORME UNITY
Peu après l'annonce de l'incident XcodeGhost, les chercheurs d'applications retirées à cette occasion, la presse l'a estimé que les « internautes lambda » des motifs qui poussent le plus
strictes d'Apple se sont vues exclues de sa boutique. à « plus de 250 ». Par ailleurs, l'entreprise basée en Chine à couramment à utiliser quand même ces sources, à savoir :
en sécurité chez PwC ont déclaré que des copies clonées
En septembre 2015, cette situation idyllique a brusquement de la plateforme Unity en cours de distribution avaient subi l'origine du SDK Youmi a publié des excuses officielles [6] et l'insuffisance de la bande passante, l'accès restreint aux sites
tourné au cauchemar lorsqu'Apple a annoncé avoir retiré une modification similaire, ce qui a valu à ces clones le nom spécifié qu'elle « collaborait avec Apple pour résoudre ce web étrangers et l'alléchante disponibilité garantie par les
de l'App Store plusieurs applications contaminées par un d'UnityGhost [4]. Unity est un environnement commercial de problème ». référentiels tiers. Dans le but de remédier au moins en partie à
programme malveillant du nom de XcodeGhost. Selon les développement tiers qui permet de créer des applications cette situation, la société Apple a annoncé qu'elle prévoyait de
journalistes, plus de 30 applications étaient touchées mais iOS (ainsi que des programmes destinés à d'autres systèmes rendre le programme officiel Xcode plus facilement accessible
certains ont ultérieurement porté ce bilan à plus de 300 [2,3]. comme Android et Windows). Par chance, dans ce cas, aucune CIBLAGE DES DÉVELOPPEURS aux développeurs en Chine en le proposant également sur des
application élaborée avec une copie contaminée ne s'est Collectivement, ces incidents démontrent clairement que les serveurs installés dans le pays [9].
Le point le plus remarquable de cet incident était qu'au remparts protégeant l'App Store ne sont pas inviolables et
retrouvée sur l'App Store. Malgré cette récente mésaventure, l'App Store reste plus
moins une partie des applications concernées provenaient qu'il est possible d'atteindre les propriétaires de périphériques
d'entreprises fiables et renommées dans le secteur du difficile à pirater que l'écosystème Android (où le vecteur
iOS en passant d'abord par les développeurs d'applications. En d'attaque le plus simple et le plus efficace reste l'ingénierie
développement de logiciels. La plus connue était sans doute effet, à chaque fois, l'outil de développement utilisé en toute
l'éditeur de WeChat, un programme de messagerie très RETRAIT DES APPLICATIONS COMPILÉES AVEC sociale). Toutefois, il n'est pas inviolable. Les incidents survenus
YOUMI innocence avait été modifié de façon à introduire discrètement soulignent combien il est essentiel de maintenir un contrôle
répandu. D'autres applications (Railway 12306, Camcard et un code malveillant dans le produit fini.
NetEase Cloud Music, entre autres) comptaient des millions, Un mois plus tard, nouvel incident du même genre : des rigoureux tout au long du processus de développement. En
voire des dizaines de millions d'adeptes. Si la majorité d'entre applications étaient supprimées de l'App Store, car elles Ce type d'attaque n'était pas tout à fait nouveau : ainsi, en 2010, effet, non seulement une contamination d'une telle ampleur
eux se trouvaient en Chine continentale, bon nombre des recueillaient des informations concernant les internautes un virus avait été décelé qui introduisait du code indésirable met en péril la sécurité des internautes, mais elle ternit la
applications touchées étaient également utilisées dans et leurs appareils [5]. Dans ce cas, elles avaient été élaborées dans chaque fichier exécutable créé avec le programme réputation et l'image de fiabilité des développeurs concernés
d'autres régions du monde, dont les États-Unis et l'Europe. à l'aide du kit de développement logiciel (SDK – Software Delphi [7, 8]. En revanche, le dernier incident en date a eu sur ainsi que de l'App Store même.
Development Kit) tiers Youmi, qui permettait d'y intégrer l'App Store des répercussions publiques sans précédent.
>> Sources répertoriées à la page 38.
18 19Vous pouvez aussi lire
