RAPPORT SUR LES MENACES 2015 - F-Secure

 
CONTINUER À LIRE
RAPPORT SUR LES MENACES 2015 - F-Secure
RAPPORT
 SUR LES
MENACES
   2015
RAPPORT SUR LES MENACES 2015 - F-Secure
RÉSUMÉ                                                                                                                                                                            SYNTHÈSE
2015 EN BREF
Voici quelques-uns des événements majeurs de l'année en matière de cyber sécurité.
                                                                                                                                                                       08         Ce rapport décrit en détail l'éventail des cyber menaces auxquelles particuliers

                                                                                        VULNÉRABILITÉS
                                                          15/07 : Piratage de Hacking
                                                                                                                                                                                  et entreprises sont confrontés. En nous fondant sur des sources de 2015, nous
                       15/02 : Démantèlement                                                                                                                                      exposons ici nos remarques concernant les cas connus de malware détectés

                                                                                                                                      SÉCURITÉ DES
                                                          Team, divulgation de                           15/07 : Rappels Ford,                       15/08 : Google corrige la
          POURSUITES

                       du botnet Ramnit par               données en ligne                               Range Rover, Prius et                       faille de sécurité Android   par les systèmes de renseignement anti-menace. Nous identifions par ailleurs
                                               ATTAQUES

                                                                                                                                      PRODUITS
                       Europol                                                                           Chrysler pour cause de                      Stagefright
                                                          15/09 : Début du                                                                                                        plusieurs évolutions et tendances clés dans ce domaine.
                       15/07 : Fermeture du               nettoyage de l'App                             bug                                         15/08 : Amazon et
                       forum de piratage                  Store pour éradiquer                           15/07 : Signalement de la                   Chrome abandonnent
                       Darkode par le FBI                 XcodeGhost                                     faille Android Stagefright                  les pubs Flash               Ce rapport introduit la « chaîne de contamination », un concept analytique
                                                                                                                                                                                  permettant d'aider les lecteurs, en particulier ceux qui travaillent dans le
                                                                                                                                                                                  domaine de la cyber sécurité et des technologies de l'information, à cerner
                                                                                                                                                                                  les combinaisons de tactiques et de ressources des pirates. Ce modèle a été
PRINCIPALES
FAMILLES DE
MALWARE
Njw0rm a été la nouvelle famille de
                                         12                EFFRACTION DANS
                                                           LE JARDIN CLOS
                                                           Fin 2015, l'App Store d'Apple
                                                           a été victime d'une série d'incidents dus
                                                                                                            18              PRÉSENTATION
                                                                                                                            DES DUKES
                                                                                                                            Les membres des Dukes
                                                                                                                            forment un groupe de cyber espionnage
                                                                                                                                                                        20        appliqué à certaines des menaces les plus courantes en 2015 (kits d'exploitation,
                                                                                                                                                                                  ransomware et piratages DNS, entre autres) afin d'illustrer comment les cyber
                                                                                                                                                                                  criminels compromettent la sécurité des internautes.

malware prédominante en 2015.                              à l'utilisation d'outils infectés par des                        hautement spécialisé, extrêmement bien
                                                                                                                            organisé et doté de nombreuses ressources.            Ce rapport contient également des éléments clés concernant le penchant
                                                           développeurs, créateurs malgré eux
                                                           d'applications malveillantes. Passant outre                      Ils travailleraient pour la Fédération de             actuel des pirates pour les vers, les exploits et les macro-malware, mais aussi
                                                           le contrôle d'Apple, elles se sont immiscées                     Russie depuis au moins 2008 dans le but de            le recours croissant aux crypto-ransomware par les racketteurs en ligne ainsi
      Njw0rm                                               dans sa plateforme et, de là, dans les                           recueillir des renseignements permettant              que l'utilisation et l'efficacité grandissantes des kits d'exploitation visant les
                             Angler                        périphériques iOS d'internautes.                                 d'influer sur les décisions prises en matière
                                                                                                                            de politiques de sécurité et d'affaires               vulnérabilités Flash. De plus, il souligne l'importance des divers incidents de
                                                                                                                            étrangères.                                           cyber sécurité survenus en 2015, notamment la découverte du bug XcodeGhost
                                                                                                                                                                                  dans l'App Store d'Apple et le démasquage des Dukes, un groupe de menaces

                                                                                                           23                                                           28
                Gamarue                                                                                                                                                           avancées persistantes. Sans oublier certains signes laissant penser que la
                                   Dorkbot                 CHAÎNE DE                                                        CHAÎNE DE                                             rencontre entre géopolitique et cyber sécurité ouvre la voie à une course au
                                                           CONTAMINATION                                                    CONTAMINATION                                         cyber armement.
     Nuclear                                               La chaîne de contamination                                       Étapes
                           Kilim                           est un modèle axé sur les utilisateurs qui
                                                           illustre les combinaisons de tactiques et                                                                              Les informations fournies sur les menaces observées à l'échelle mondiale sont
                                      Ippedo               de ressources utilisées pour infecter leurs                                                                            étayées par des statistiques détaillées par pays et zones géographiques pour
          Dridex                                           périphériques et leurs réseaux. Il comporte                                                                            les plus courantes d'entre elles. Il en ressort clairement que, si le monde entier
                          WormLink                         quatre grandes étapes : inception,                                                                                     est connecté via Internet, les pirates sont à même de développer et distribuer
                                                           intrusion, infection et invasion.                                                           INCEPTION                  des ressources leur permettant de cibler plus efficacement leurs victimes
                                                                                                                             Les redirecteurs sèment la panique                   parmi les particuliers et les entreprises.
                                                                                                                             aux USA et dans l'UE (p. 28)

                                                                                                                                INTRUSION
                                                                                                                                  AnglerEK domine Flash
                                                                                                                                  (p. 29)

                                                                                                                                                       INFECTION
                                                                                                                                      L'ascension des
                                                                                                                                      crypto-ransomware (p. 31)                   Auteurs
                                                                                                                                                                                  Edilberto Cajucom Laboratoire • Patricia Dacuno Threat Intelligence, Laboratoire • Karmina Aquino • Threat Intelligence,
 MENACES PAR ZONE                                                                                                                                                                 Laboratoire • Broderick Aquilino Malware Protection, Laboratoire • Alia Hilyati Antimalware Unit • Sarah Jamaludin Antimalware
 GÉOGRAPHIQUE                                                                                                                                                                     Unit • Adam Pilkey Global Communications & Brand • Melissa Michael Global Communications & Brand
 L'Europe a été particulièrement                                                                                                      INVASION
 touchée par le kit d'exploitation Angler.                                                                                             Piratage DNS en 2015 : des
 De plus, elle a fréquemment été la                                                                                                    botnets, des téléchargeurs et des          Contributeurs
 cible de Trojan:JS/Redirector ainsi                                                                                                   voleurs d'informations (p. 33)
                                                                                                                                                                                  Mikko Hypponen Laboratoire • Sean Sullivan Security Advisor • Andy Patel Technology Outreach • Zimry Ong Malware Protection,

                                                                                                             15
 que d'attaques par fichiers contenant
                                                                                                                                Downadup pourrait-il se refaire                   Laboratoire • Artturi Lehtiö Threat Intelligence, Laboratoire • Janne Kauhanen Cyber Security Services • Dariusz Jastrzebski Cyber
 des macros qui téléchargent des                                                                                                une santé grâce à l'Internet des
 ransomware.                                                                                                                    objets ? (p. 34)                                  Security Services

02                                                                                                                                                                                                                                                                                                              03
AVANT-PROPOS                                                                                              TABLE DES MATIÈRES

                                                                                                          01                                    02
Avant, les conflits survenaient pour une question de frontières. Il y a bien
longtemps, nous érigions des remparts autour de nos villes pour nous
défendre. Ils nous protégeaient de nos ennemis. Au fil du temps, ces remparts
sont devenus plus hauts, plus longs, plus larges. Or, plus ils s'allongeaient et
s'élargissaient, plus ils se faisaient invisibles autour des zones de richesse,
de prospérité, de puissance et de croyance qu'ils délimitaient. Finalement,                               GÉNÉRALITÉS                           RÉTROSPECTIVE
ces remparts sont devenus des frontières qui sont restées l'objet de tous les
conflits pendant des siècles. L'époque était alors aux désirs de conquêtes                                02   Résumé                           08   2015 en bref
territoriales et de conversion religieuse des populations.
Les guerres et autres conflits ont toujours été alimentés par les technologies,                           03   Synthèse                         10   Résumé des menaces
comme celles de la poudre, des lames en acier et des avions de chasse. Ce                                 04   Avant-propos                           10 Malware par type
sont immanquablement ces incroyables possibilités technologiques qui se
distinguent le plus durant ces périodes sombres. La guerre a toujours été un                              05   Table des matières                     11    Pays qui en signalent le plus
moteur de développement technologique, et inversement.                                                    06   À noter                          12   Principales menaces
C'est ainsi que la guerre froide a produit un effet collatéral : Internet. Cherchant                      35   Conclusion                             12    Principales familles de malware
à maintenir une chaîne de commandement en cas de guerre nucléaire,                                        36   Sources                                12    Tendances des principales familles
l'armée américaine a conçu Internet dans ce but, comme une infrastructure
militaire. En développant Internet, l'humanité a ouvert la voie à une toute                               40   Annexe                                 13	Principaux génériques et familles
nouvelle façon de se faire la guerre. Qui plus est, Internet n'est pas une zone
géographique et ne connaît pas de frontières. Cette création a ouvert la boîte
                                                                                                                40 Rapports nationaux                    héritées
de Pandore dans un environnement dépourvu de délimitations tangibles, sans                                      47 Descriptions des menaces          13	Tendances des principaux
ennemis identifiables.
                                                                                                                                                         génériques et familles héritées
Par ailleurs, les anciens conflits étaient de nature symétrique, armée contre
armée. Aujourd'hui, la technologie guerrière a évolué. Nous ne savons plus qui                                                                       14 Malware Mac
sont nos ennemis ou ne sommes plus en mesure de les décrire ni d'identifier
leurs objectifs et leurs motivations. Nous nous lançons dans une bataille,                                                                           14 Malware Android
armés de technologies que nous ne maîtrisons pas complètement, contre                                                                                15  Menaces par zone géographique
des ennemis tapis dans l'ombre… et l'issue reste insondable. Contre qui nous

                                                                                                          03                                    04
battons-nous ? Des pirates ? Le collectif Anonymous ? La mafia russe ? La
Corée du Nord ?

Les conflits sur Internet sont complexes. La seule chose dont nous pouvons
être sûrs, c'est que nous assistons au début d'une nouvelle course à
                                                                                          « NOUS NOUS
l'armement : une course au cyber armement.
                                                                                        LANÇONS DANS      ÉTUDES DE CAS                         CHAÎNE DE CONTAMINATION
MIKKO HYPPÖNEN
Chief Research Officer
@mikko
                                                                                          UNE BATAILLE,   18   Effraction dans le jardin clos   23   Un modèle axé sur les utilisateurs
                                                                                             ARMÉS DE     20   Présentation des Dukes           24   Étape par étape
                                                                                        TECHNOLOGIES                                            25   Principales menaces par étape
                                                                                                                                                26   Njw0rm
                                                                                          QUE NOUS NE                                           27   CosmicDuke
                                                                                        MAÎTRISONS PAS                                          28   Étapes
                                                                                       COMPLÈTEMENT,                                                  28 Inception
                                                                                           CONTRE DES                                                 29 Intrusion
                                                                                         ENNEMIS TAPIS                                                31    Infection
                                                                                        DANS L'OMBRE »                                                33 Invasion : Infiltration
                                                                                                                                                      34 Invasion : Infestation

04                                                                                                                                                                                          05
07

À NOTER
Flash : Le dernier des maillons faibles
Les exploits malveillants sont monnaie courante depuis plus de 10 ans. Tant et si bien qu'en
2006 les analystes de l'Institut InfoSec ont commencé à appeler plaisamment « Exploit
Wednesday » le lendemain du « Patch Tuesday » de Microsoft. Tout reposait sur la réactivité.
Le mardi, Microsoft livrait ses mises à jour, que les pirates disséquaient rapidement dans la foulée
pour en identifier les vulnérabilités sous-jacentes. Armés de ces informations, ils créaient alors un
exploit à intégrer à leurs malware visant les internautes qui n'avaient pas encore mis leur système à

                                                                                                                                                                                                                  02
jour.

                                                                                                                                                                                                                                    RÉTROSPECTIVE
Fin 2006, les malware se sont encore plus démocratisés avec l'arrivée des kits malveillants. Les
premiers de ces kits, comme MPack, furent victimes de leur succès : pas assez évolutifs, ils furent
en effet incapables de satisfaire une demande en constante augmentation. Toutefois, les services
malveillants ont bien vite pris la relève et les marchés noirs du web proposent maintenant de
nombreux kits d'exploitation.
Aujourd'hui, fini l'« Exploit Wednesday ». Le logiciel Microsoft [1] est nettement plus sûr qu'il y a
10 ans et s'accompagne d'un déploiement accéléré des correctifs. C'est désormais Adobe que les
kits d'exploitation prennent pour cible. Le programme Reader en a particulièrement fait les frais un
certain temps (Flash aussi), avant de devenir quasi superflu avec l'avènement de la prise en charge
des PDF en natif dans plusieurs navigateurs. Adobe a alors adopté des cycles de mise à jour stricts qui
ont mis Reader à l'abri un moment. Le plug-in pour navigateur Java, maillon faible de la chaîne, est
                                                                                                                                                                         08   2015 en bref
ensuite devenu la cible privilégiée des attaques. Les développeurs l'ont alors plus ou moins restreint                                                                   10   Résumé des menaces
à de très rares utilisations.
                                                                                                                                                                               11    Pays qui en signalent le plus
Donc, à présent… le lecteur Flash d'Adobe est le dernier plug-in offrant la meilleure prise aux kits
d'exploitation. Mais pour combien de temps ?
                                                                                                                                                                               11    Malware par type
Le 29 avril 2010, Steve Jobs a publié une lettre ouverte intitulée Thoughts on Flash (Pensées sur Flash)
                                                                                                                                                                         12   Principales menaces
expliquant pourquoi Apple ne voulait pas de Flash sur ses périphériques iOS. Selon de nombreux                                                                                 12    Principales familles de malware
analystes technologiques, cet événement a signé le début de la fin pour Flash Player, au moins sur
les appareils mobiles. C'est désormais avéré. Le 28 juin 2012, Adobe a annoncé que la certification
                                                                                                                                                                               12    Tendances des principales familles
Flash Player ne serait pas disponible sur l'Android 4.1 et qu'il limiterait ses installations via Google Play                                                                  13    Principaux génériques et familles héritées
à partir du15 août 2012 [2].
                                                                                                                                                                               13    Tendances des principaux génériques et familles héritées
Depuis, le lecteur Flash tient bon sur le marché des ordinateurs de bureau, mais il est critiqué de toute
part. Ainsi, en août 2015, Amazon a annoncé qu'il n'accepterait plus les publicités en Flash à compter
                                                                                                                                                                               14 Malware Mac
du 1er septembre 2015. Google a suivi le mouvement en février 2016. Dans cette optique, AdWords et                                                                             14 Malware Android
DoubleClick, ses réseaux publicitaires, n'afficheront plus de publicités en Flash à partir du 30 juin 2016.
Elles y seront complètement désactivées à partir du 2 janvier 2017.
                                                                                                                                                                               15    Menaces par zone géographique

À ce stade, j'avancerais une prévision pour début 2017 : dès qu'il pourra se passer de prendre en charge
les publicités en Flash, le navigateur Google Chrome commencera à forcer les internautes à autoriser
tous les sites nécessitant la technologie Flash et sera suivi de près par Mozilla Firefox et Microsoft
Edge. Ainsi, d'ici le printemps 2017... Flash ne sera plus d'aucune utilité aux kits d'exploitation.
Les kits d'exploitation ont un avenir chaotique devant eux, sans nouvelle cible prometteuse à
l'horizon. Les services malveillants, toujours plus répandus, intensifieront leurs envois de pièces
jointes, comme le macro-malware qui fait fureur actuellement.
Si seulement nous perdions le réflexe de cliquer sur « OK » pour nous débarrasser des boîtes de
dialogue…

SEAN SULLIVAN
Security Advisor
@5ean5ullivan
1
    À l'exception de Silverlight, actuellement cible de kits d'exploitation. Heureusement, Silverlight devrait bientôt disparaître puisque Netflix s'en détourne.

2
  Ironie du sort, bon nombre de malware s'insinuent dans les appareils Android par le biais de publicités trompeuses pour une mise à jour Flash obligatoire. Même
en l'absence de lecteur Flash, l'habitude mène parfois à l'ingénierie sociale. Les chercheurs de Google ont commencé à configurer le navigateur Chrome de façon à
signaler les sites affichant ce type de publicité.

06                                                                                                                                                                                                                                                  07
2015 EN BREF
                                                                                                                                                              Octobre
                                                                                                                                                                                   [   L'année 2015 s'est révélée mouvementée en matière de sécurité et de confidentialité en ligne. Voici
                                                                                                                                                                                       quelques-uns des événements majeurs survenus qui influeront sur les interactions des internautes
                                                                                                                                                                                       et leur rapport à la technologie. Nos sources sont répertoriées à la page 36.                          ]
                                                                                                                                                      USA - CISA : Adoption                          Octobre                                                               Décembre
INTERNATIONAL

                                                                                                                                    Octobre          par le Sénat malgré des                     USA - DMCA :                                                         Chine : Inquiétudes
                                                         Août                             Septembre                                                        inquiétudes                                                                     Novembre
                                                                                                                                  UE/USA :                                                   Davantage de produits                                                     au sujet de la loi
                                              USA : Sanctions prévues            Chine/USA : Entretien                         Invalidation de                                                                                      USA : Fin des écoutes               antiterrorisme
                                               contre la Chine pour                                                                                                                           de « piratage légal »
                                                                                 cyber sécurité avant la                    l'accord Safe Harbor                                                                                   téléphoniques massives
                                                     cyber vol                      visite officielle                                                                                                                                     de la NSA

                                                                                                                                                       Octobre
                                                                                         Février                              Juillet              Perturbation de                 Octobre                        Octobre                         Octobre                      Octobre
                                    Juillet                                       Démantèlement                          Fermeture du              l'activité du kit        Chine : Arrestation             UE : Raids policiers        USA : 4,5 ans de prison               R-U/USA :
                                                                                 du botnet Ramnit                      forum de piratage            d'exploitation             de pirates sur                liés au malware             pour le créateur du               Inculpation du
                             Chine : Mise à jour                                    par Europol                        Darkode par le FBI               Angler               requête des USA                     DroidJack                 botnet Citadel                    créateur du
                             des lois relatives au                                                                                                                                                                                                                         botnet Dridex
                             contrôle d'Internet

                              SÉCURITÉ                                                                                                                                             POURSUITES
                             NUMÉRIQUE

                                                                                         Juillet                                                                                                              Septembre
                                                                              Piratage de Hacking                                                                                                                                                                            Décembre
                ATTAQUES                                                      Team, divulgation de
                                                                                                                                                                                                         Attaque DDoS
                                                                                                                                                                                                      « lancée depuis des                                                  Signalement
VIE EN LIGNE

                                                                                données en ligne                                                                                                       pubs sur mobile »                                               d'attaques DDoS sur
                                                                                                                                                                          Septembre                                                                                     des serveurs turcs
                                                                                                                                                                            Début du
                                                                                                                                                                         nettoyage de
                                                                                                                                                                          l'App Store
                                                                                                                                                                        pour éradiquer                  Septembre
                                                         Mars
                                                                                                          Juillet                                                        XcodeGhost
                                                                                                   Développement                                                                                      Malware Turla
                                                    Montée des                                       des outils de                                                                                  « en contact C&C
                                                    ransomware                                                                                                                                        par satellite »                                  Septembre
                                                                                                   cyber criminalité                                                                                                                              Identification de
                                                                                                      des Dukes
                MALWARE                                                                                                                                                                                                                            nouveaux outils
                                                                                                                                                                                                                                                     des Dukes

                                                                                                   Août                                 Août                      Août                              Octobre                             Octobre
                SÉCURITÉ DES PRODUITS                                              Google lance les mises                    Google corrige la            Amazon et Chrome                    Retrait de bloqueurs             Correction de plusieurs
                                                                                  à jour de sécurité Nexus                   faille de sécurité            abandonnent les                   de pub dépassant les               failles par les mises à
                                                                                         mensuelles                         Android Stagefright               pubs Flash                     limites de l'App Store                   jour Apple
PARTICULIERS

                VULNÉRABILITÉS                                            Août
                                                                   Signalement de la                                                                                     Juillet                     Août                      Août                   Septembre
                                               Juillet             faille Certifi-gate                          Septembre
                                       Signalement de                 sur Android                     Signalement d'un exploit                                     Rappels Ford,                  Sortie du               Démonstration           Envoi postal
                                       la faille Android                                              déjouant Gatekeeper sur                                    Range Rover, Prius                correctif                de piratage            Chrysler de
                                          Stagefright                                                        Mac OS X                                             et Chrysler pour               antipiratage             d'une Corvette          clés USB avec
                                                                                                                                                                   cause de bug                  OTA pour la                  par des                correctif
                                                                                                                                                                                                Tesla Model S               chercheurs                logiciel

                      Mars                                                                                                          Octobre
                  Détection de                                                                                                Signalement de
                 la faille FREAK                                                                                              la faille Android
                 sur Android et                                                                                                Stagefright 2.0
                    Windows

                08                                                                                                                                                                                                                                                                       09
RÉSUMÉ DES MENACES
Si la typologie des menaces observées en 2015 reprenait                                                                                                                               Ils s'en prennent toujours aux particuliers et entreprises qui          Démasquage des Dukes
plusieurs tendances relevées en 2014, elle affichait également                                                                                                                        utilisent des logiciels dépassés ou non corrigés (par exemple, les      Les APT sont des programmes perfectionnés, en général conçus
des divergences significatives. La surprise est notamment                                                                                                                             exploits WormLink leur demandent d'ouvrir un fichier contenant          spécifiquement dans le but de s'insinuer et rôder en toute
                                                                                                                                                                                      un code qui exploite une vulnérabilité). Comme en 2014, ils ont         discrétion dans les réseaux et les systèmes d'exploitation. Ces
venue du retour des macro-malware qui avaient disparu
depuis le début des années 2000. Par ailleurs, la proportion
                                                                                          MALWARE PAR TYPE                                                                            constitué 8 % du total des détections de malware. Toutefois,            menaces silencieuses visent les entreprises qui traitent des
des vers dans le nombre total de détections de malware a                                                                                                                              leur contenu malveillant (entre autres, des ransomware) s'est           affaires ou des informations de production confidentielles. En
                                                                     2015                                                                                                             diversifié et aggravé : il est donc plus que jamais nécessaire          2015, le Laboratoire F-Secure a publié un livre blanc exposant

                                                                                                                                                              BACKDOOR
                                                                                                                                                                          AUTRES
                                                                            DE TROIE

                                                                                                                                EXPLOIT

                                                                                                                                              VIRUS
augmenté, ce qui est en grande partie dû à l'émergence de

                                                                            CHEVAL
                                                                                                                                                                                      de mettre à jour ses logiciels dès la publication de nouveaux           le groupe de cyber espionnage à l'origine de cette menace :

                                                                                                            VER
diverses familles dans certaines régions du monde.
                                                                                                                                                                                      correctifs de sécurité.                                                 les Dukes, créateurs d'une série d'outils utilisés depuis 2008 et
Toutefois, les exploits et kits d'exploitation restent parmi
les menaces les plus répandues auxquelles particuliers et
                                                                                        67                            18                          8 6 1 1                             Macro-malware
                                                                                                                                                                                                                                                              développés en continu au cours de ces sept dernières années.
                                                                                                                                                                                                                                                              Leurs outils (CozyDuke, MiniDuke, HammerDuke et SeaDuke,
entreprises sont confrontés en Europe comme en Amérique              2014                                                                                                             L'année 2015 nous a offert une évolution intéressante avec

                                                                                                                                                               BACKDOOR
                                                                                                                                                  VIRUS
                                                                            DE TROIE

                                                                                                                                                                          AUTRES
                                                                                                                                EXPLOIT
                                                                            CHEVAL
du Nord. Non seulement ils sont fréquemment détectés, mais                                                                                                                            le retour des macro-malware. Ces documents contenant du                 entre autres) intègrent tous des fonctions variées telles que le vol

                                                                                                                VER
certains indicateurs ont démontré en 2015 que leurs capacités                                                                                                                         code malveillant dissimulé ont marqué la fin des années 1990 et         de mots de passe, l'ouverture d'une backdoor et le lancement
ne cessent de s'étoffer et de s'étendre à de nouveaux vecteurs
d'attaque. Le nombre de ransomware « Gendarmerie » a
                                                                                         73                               10                  8                  6 1 1
                                                                                                                                                                                      le début des années 2000. Mais lors du lancement de la suite
                                                                                                                                                                                      Office 2003, Microsoft a modifié les paramètres de sécurité par
                                                                                                                                                                                      défaut pour empêcher l'activation automatique des macros à
                                                                                                                                                                                                                                                              d'attaques par déni de service distribué (DDoS – Distributed
                                                                                                                                                                                                                                                              Denial of Service).
diminué en 2015, contrebalancé par l'activité croissante             2013

                                                                                                                                                                           BACKDOOR
                                                                                                                                                          AUTRES
                                                                            DE TROIE

                                                                                                                      EXPLOIT

                                                                                                                                          VIRUS
                                                                                                                                                                                                                                                              Bien qu'il soit peu probable que le commun des internautes

                                                                            CHEVAL
de plusieurs familles de crypto-ransomware (voir page 31)                                                                                                                             l'ouverture d'un document, compliquant considérablement la

                                                                                                          VER
                                                                                                                                                                                      tâche des pirates.                                                      le rencontre un jour, cet arsenal très ciblé concerne plus
opérant par le biais de kits d'exploitation et de macro-
malware.
Par ailleurs, les autorités gouvernementales et les grandes
                                                                                         63                       12 11                                   9                 4 1       Pourtant, à partir de juin 2015, les macro-malware ont retrouvé
                                                                                                                                                                                      une place de choix dans les rapports de télémétrie. Loin de
                                                                                                                                                                                                                                                              précisément et plus directement ceux qui sont liés à des sociétés
                                                                                                                                                                                                                                                              ou des organes gouvernementaux présentant un intérêt pour
                                                                                                                                                                                                                                                              les Dukes.
                                                                                       POURCENTAGES DES DÉTECTIONS DE
entreprises s'intéressent de près aux menaces avancées                                      MALWARE SIGNALÉES                                                                         figurer parmi les menaces prédominantes, ils ont néanmoins fait
persistantes (APT – Advanced Persistent Threats), bien                            Les vers ont significativement gagné en ampleur                                                     leur petit effet dans plusieurs pays d'Europe. Ils se propagent
qu'elles n'affectent pas la plupart des internautes. En 2015,                    en 2015 par rapport aux deux années précédentes.                                                     principalement grâce aux pièces jointes des e-mails et utilisent
le Laboratoire F-Secure a publié un livre blanc présentant                                                                                                                            des techniques d'ingénierie sociale pour pousser les internautes
en détail les outils utilisés par les Dukes. Nous pensons                                                                                                                             à ouvrir les documents et à activer les macros, ce qui entraîne
que ce groupe de cyber espionnage hautement spécialisé,              Considérés comme un type de menace au sens large, les vers                                                       l'exécution du code malveillant.                                                   PAYS QUI EN SIGNALENT LE PLUS
extrêmement bien organisé et doté de nombreuses ressources           ont significativement gagné en ampleur l'an dernier. En 2015,
travaille pour la Fédération de Russie depuis au moins 2008          les familles de vers représentaient en effet 18 % du total des                                                   Les macro-malware et les exploits se ressemblent de par leur
dans le but de recueillir des renseignements permettant              détections de malware, contre 12 % en 2013 et 10 % en 2014.                                                      intention commune, à savoir attaquer en vue d'injecter du                                                                              Danemark Finlande
d'influer sur les décisions prises en matière de politiques de       Toutefois, à l'exception du tristement célèbre ver Downadup                                                      contenu malveillant. En 2015, il s'agissait notamment de graves                                                                                Royaume-Uni
                                                                     (prédominant partout dans le monde), la plupart de ces                                                           menaces telles que le cheval de Troie bancaire Dridex et de                                           Irlande Portugal
sécurité et d'affaires étrangères.

                                                                                                                                                                                                                                                                                                                                                                            Japon
                                                                                                                                                                                      crypto-ransomware tels que CryptoWall.                                                             Canada     Bulgarie                                                                    États-Unis
                                                                     familles ont seulement été repérées en Asie, au Moyen-Orient                                                                                                                                                  Autriche Espagne
Vers                                                                 et, dans une moindre mesure, en Amérique du Sud. Malgré
                                                                                                                                                                                                                                                                                           Taïwan                                               Turquie Maroc

                                                                                                                                                                                                                                                                                                                                        Chili
                                                                                                                                                                                                                                                                                                                               Chine
Éternel leader du classement des détections de menaces, le                                                                                                                            Malware Android
                                                                     cette poussée, le cheval de Troie (par exemple, Gamarue ou                                                       En 2015, l'écosystème Android a vu Slocker s'élever au rang des
                                                                                                                                                                                                                                                                                                                                                  Colombie

                                                                                                                                                                                                                                                                                                        Thaïlande Brésil Corée du Sud
vieillissant Downadup (alias Conficker) a conforté à lui seul les

                                                                                                                                                                                                                                                                 Suède Singapour
                                                                     Kilim) est resté le type de malware le plus souvent rencontré                                                    menaces prépondérantes. Même si les principaux chevaux de                           Hong Kong
vers dans une position prédominante. En parallèle, leur visibilité   en 2015.
                                                                                                                                                                                                                                                                                                                                        EAU Iran Argentine
                                                                                                                                                                                                                                                                                                                       Oman
                                                                                                                                                                                      Troie envoyeurs de SMS sont restés très présents, notamment                                     Grèce

                                                                                                                                                                                                                                                                      Estonie Australie Norvège
s'est trouvée globalement accrue grâce à l'émergence de
                                                                                                                                                                                      en France, la popularité croissante de Slocker marque un

                                                                                                                                                                                                                                                                                           Ukraine Hongrie
plusieurs familles parvenues à se propager dans les réseaux de       Exploits et kits d'exploitation

                                                                                                                                                                                                                                                                         Afrique du Sud Italie
                                                                                                                                                                                      tournant dans le domaine des malware mobiles, qui ciblent                                                                                                                                                   France
                                                                     Très présents en 2015, les exploits se sont montrés actifs dans
certaines régions du monde.
                                                                                                                                                                                      maintenant davantage le contenu stocké sur les périphériques.                                                                                                                                            Roumanie

                                                                                                                                                                                                                                                                                               Russie Pologne
                                                                     plusieurs pays. Le kit d'exploitation Angler s'est particulièrement
La plus remarquable de ces nouvelles familles est Njw0rm,            illustré dans diverses régions du monde, régnant au Royaume-                                                     L'action des backdoors (dont CoudW) indique également une                                                                                                                                                Belgique

                                                                                                                                                                                                                                                                                                                                                             Philippines

                                                                                                                                                                                                                                                                                                                                          Mexique Suisse
                                                                                                                                                                                                                                                                                                                   Équateur Allemagne
                                                                                                                                                                                      évolution accrue des types de contamination visant les systèmes

                                                                                                                                                                                                                                                                                                                             ÉgypteCroatie
un ver VBS qui s'infiltre via des lecteurs amovibles, des pièces     Uni, en Suède et en Australie.
jointes malveillantes à des e-mails et des téléchargements à la                                                                                                                       d'exploitation par rapport aux années précédentes.
                                                                     S'il disposait de l'arsenal le plus complet d'exploits déployé
dérobée. Essentiellement conçu pour voler des informations, il
                                                                                                                                                                                                                                                                                                                                                                                      Tunisie

                                                                                                                                                                                                                                                                                                                                                        Malaisie
a la capacité d'ouvrir des backdoors. Njw0rm a vu ses détections     l'an dernier, sa réussite (et celle des kits d'exploitation en                                                   Mac et iOS

                                                                                                                                                                                                                                                                                                                                                         Inde
                                                                     général) semble en partie due à son utilisation de plus en plus                                                  Les backdoors représentaient le type de malware le plus souvent
nettement augmenter au second semestre 2015 par rapport au
                                                                                                                                                                                      détecté sur les systèmes d'exploitation Apple en 2014, ce qui
                                                                                                                                                                                                                                                                                                                                                                                    Pays-Bas
premier, mais son action a été largement suffisante pour en faire    efficace de différents vecteurs d'attaque. La prédominance des

                                                                                                                                                                                                                                                                                                                                                                                    Slovénie
                                                                                                                                                                                                                                                                                                                                     Serbie
                                                                     signalements de la détection générique Trojan:JS/Redirector                                                      offrait un contraste intéressant à la domination sans partage des

                                                                                                                                                                                                                                                                                                                                                       République Tchèque
la nouvelle famille de malware la plus importante de l'année.
                                                                     en apporte la preuve. Les pirates introduisent ce type de cheval                                                 chevaux de Troie sur Windows et Android.

                                                                                                                                                                                                                                                                                                                                                   Sri Lanka
Le ver Dorkbot a, lui aussi, fait des dégâts. Il affiche de          de Troie sur des sites web légitimes afin de rediriger leurs
nombreuses caractéristiques en commun avec Njw0rm. Tous                                                                                                                               En 2015, l'écosystème Apple a subi sa plus terrible attaque à
                                                                     visiteurs vers d'autres sites hébergeant des kits d'exploitation,                                                ce jour. En effet, durant l'« incident XcodeGhost », des pirates
deux s'insinuent par le biais de lecteurs amovibles. Tous deux       notamment Angler et Nuclear. Cette attaque a été si répandue
ouvrent des backdoors, volent des informations et peuvent                                                                                                                             sont parvenus à s'introduire dans le très sécurisé App Store
                                                                     l'an dernier qu'elle s'est vu décerner le titre peu glorieux de                                                  en infectant des copies de Xcode, l'outil de développement
communiquer avec des serveurs distants afin de recevoir des          menace principale en Suisse et au Danemark.
instructions complémentaires de la part des cyber criminels.                                                                                                                          d'applications d'Apple, disponibles sur des forums de
                                                                                                                                                                                      téléchargement public chinois. Ce faisant, ils ont réussi à insérer                                L'illustration ci-dessus représente le volume des
Toutefois, Dorkbot est aussi capable de se propager en               De leur côté, les vulnérabilités Flash ont grandement contribué                                                                                                                                                     signalements de détections que nous avons reçus pour
intégrant des liens malveillants à des messages instantanés ou       à la réussite des exploits, et ce même indépendamment des kits                                                   du code malveillant dans des applications qui étaient ensuite                                      chaque pays par rapport à sa population d'internautes
sur les réseaux sociaux.                                             d'exploitation. En effet, les exploits identifiés par la détection                                               proposées sur l'App Store.                                                                         (ceux qui utilisent nos produits de sécurité).
                                                                     générique Exploit:SWF/Salama ont compté parmi les menaces                                                        Ces pirates ont tiré parti de la situation toute particulière de
Troisième nouvelle famille remarquée, Ippedo a fait l'objet d'un     les plus présentes, notamment en Europe et aux États-Unis. Bien                                                                                                                                                     Par exemple, malgré son grand nombre d'internautes,
assez grand nombre de signalements pour entrer dans la liste                                                                                                                          la Chine, où les développeurs qui ont du mal à accéder aux                                         peu de signalements nous sont parvenus de la Finlande
                                                                     qu'elles ne jouissent pas de la même ampleur qu'Angler, ces                                                      serveurs de téléchargements d'Apple situés à l'extérieur du pays
des principales menaces de 2015. Il s'agit là encore d'un voleur     deux types d'attaques ont ciblé le nombre apparemment infini                                                                                                                                                        comparativement à Oman, qui conjugue vaste
d'informations distribué via des lecteurs amovibles. Cependant,                                                                                                                       se tournent vers des sources locales pour obtenir une copie de                                     population d'internautes et taux de détection élevés.
                                                                     d'internautes qui exécutent des versions vulnérables de Flash.                                                   l'outil souhaité. C'est ce qui a permis que leurs applications, ainsi
il ne semble pas capable de se propager par d'autres moyens,
ce qui réduit considérablement son importance par rapport aux        Dans l'ensemble, la menace représentée par les exploits n'a                                                      infectées, arrivent sur l'App Store.
autres familles.                                                     pas énormément évolué par rapport aux années précédentes.

10                                                                                                                                                                                                                                                                                                                                                                                                         11
PRINCIPALES
                                      MENACES                                                                     Njw0rm
                                                                                                                      ver                     Angler
                                                                                                                                              kit d'ex-
                                                                                                                                                                                                            PRINCIPAUX GÉNÉRIQUES ET
                                                                                                                                                                                                            FAMILLES HÉRITÉES                                                            Trojan.LNK.Gen
                                                                                                                                             ploitation                                                     Certains malware persistent durant des années. Ils                                                           Sality
                                      PRINCIPALES FAMILLES                                                                                                                                                  forment des « familles héritées » dont la longévité                                                           bot
                                      DE MALWARE                                                                                                                                                            s'explique de multiples manières, notamment par
                                                                                                                                                                                                            l'infection de nouveaux internautes ou l'altération d'un
                                                                                                                                                                                                            malware existant afin de réattaquer les mêmes cibles.
                                      En général, deux programmes malveillants qui                                          Gamarue                                                                                                                                                    Exploit:                                   Trojan:
                                      partagent un code ou un comportement spécifique                                         cheval de                                                                     Certains malware échappent aux détections de famille,                       Java/                                      W32/
                                      sont considérés comme membres d'une même famille.
                                                                                                                                Troie              Dorkbot                                                  mais pas aux détections génériques qui recherchent des
                                                                                                                                                                                                                                                                                       Majava           Downadup                  Autorun
                                      Les logiciels de sécurité repèrent souvent les différentes                                                       ver                                                  caractéristiques globalement similaires.                        Trojan:                         ver
                                      menaces d'une famille au moyen d'une détection qui
                                      identifie leurs caractéristiques communes.
                                                                                                                                                                                                            Les principales menaces observées en 2015 sont
                                                                                                                                                                                                                                                                            W97M/
                                                                                                                                                                                                                                                                           Malicious                    (Conficker)
                                                                                                                 Nuclear                                                                                    répertoriées à droite. Elles comprennent aussi bien             Macro         Exploit:
                                                                                                                                                                                                                                                                                           SWF/
                                      Les principales menaces observées en 2015 qui                               kit d'ex-                                                                                                                                                                                                     Ramnit
                                      appartenaient à des familles distinctes de malware
                                                                                                                 ploitation              Kilim                                                              les familles héritées que les détections génériques
                                                                                                                                                                                                            (identifiées par leur nom complet). La taille des bulles
                                                                                                                                                                                                                                                                                          Salama
                                                                                                                                                                                                                                                                                                                                 bot
                                      sont répertoriées à droite. La taille des bulles est                                             cheval de                                                            est proportionnelle à leur pourcentage du total des                                       Worm:
                                      proportionnelle à leur pourcentage du total des                                                    Troie                                                                                                                                                        W32/
                                      détections de malware par nos produits de sécurité sur                                                            Ippedo                                              détections de malware par nos produits de sécurité sur
                                                                                                                                                                                                            l'ensemble de l'année.                                                                    Kataja       Trojan:
                                      l'ensemble de l'année.                                                              Dridex                             ver                                                                                                                                                     JS/
                                                                                                                                                                                                                                                                                                                  Redirector
                                                                                                                          cheval de
                                                                                                                         Troie-télé-
                                                                                                                          chargeur           Worm-                                                          TENDANCES DES PRINCIPAUX
                                                                                                                                              Link                                                          GÉNÉRIQUES ET FAMILLES HÉRITÉES
                                                                                                                                             exploit
                                                                                                                                                                                                                     1,2                                                               Sur ce graphique, les zones colorées représentent
                                                                                                                                                                                                                                                                                       les détections génériques, tandis que les lignes
                                      TENDANCES DES                                                                                                                                                                                                                                    représentent les familles de malware. Alors que
                                                                                                                                                                                                                                                                                       Trojan.LNK.Gen a sensiblement reculé à l'automne,
                                      PRINCIPALES FAMILLES                                                                                                                                                                                                                             la progression des chevaux de Troie en juin marque le
                                                                                                                                                                                                                                                                                       grand retour des macro-malware.
                                      Les principales familles présentées ont connu des pics d'activité manifestes tout au long de l'année                                                                           1,0

                                                                                                                                                                               POURCENTAGE DU TOTAL DES DÉTECTIONS
                                      2015. Les détections de nouvelles familles de vers ont enregistré une hausse significative au second
                                      semestre. Les variations de leur prédominance respective sont attribuables à plusieurs causes, par

                                                                                                                                                                                   DE MALWARE SIGNALÉES EN 2015
                                      exemple la distribution plus active des malware par le biais de campagnes de hameçonnage ou un
                                      changement dans la logique de détection d'une famille spécifique.
                                                                                                                                                                                                                0,8

                                  0,6
                                                                                                                                                              Njw0rm                                                 0,6
                                                                                                                                                              ver
POURCENTAGE DU TOTAL DES DÉTECTIONS

                                                                                                                                                                                                                                                                                                                                Downadup ver
                                                                                                                                                                                                                                                                                                                                (Conficker)
    DE MALWARE SIGNALÉES EN 2015

                                  0,4                                                                                                                         Dorkbot                                           0,4
                                                                                                                                                              ver
                                                                                                                                                              Gamarue
                                                                                                                                                              cheval de
                                                                                                                                                              Troie                                             0,2                                                                                                                     Sality bot
                                                                                                                                                              Angler
                                  0,2                                                                                                                         kit                                                                                                                                                                       Ramnit
                                                                                                                                                              d'exploitation                                                                                                                                                            bot
                                                                                                                                                              Ippedo
                                                                                                                                                              ver                                          0,0
                                                                                                                                                                                                                           JANV    FÉV        MARS   AVR      MAI      JUIN     JUIL      AOU        SEP       OCT       NOV        DEC
                                                                                                                                                              WormLink
                                                                                                                                                              exploit                                                                                                   MOIS (2015)
                                  0,0
                                                                                                                                                                                                                           Trojan.LNK.Gen                  Trojan:W32/Autorun             Trojan:JS/Redirector               Worm:W32/Kataja
                                        JANV      FÉV       MARS        AVR        MAI         JUIN       JUIL     AOU        SEP      OCT       NOV    DEC                                                                (cheval de Troie
                                                                                                                                                                                                                           « raccourcis »)                 Exploit:SWF/Salama             Exploit:Java/Majava                Trojan:W97M/
                                                                                                   MOIS (2015)                                                                                                                                                                                                               MaliciousMacro

                                      12                                                                                                                                                                                                                                                                                                  13
MALWARE MAC                                                                                                                                                                                                                        EUROPE

 58+42+x                            58   % (67 ÉCHANTILLONS)
                                    BACKDOOR
                                                                                    115
                                                                                     ÉCHANTILLONS
                                                                                       DISTINCTS
                                                                                                                                                                                 MENACES PAR ZONE
                                                                                                                                                                                 GÉOGRAPHIQUE
                                                                                                                                                                                                                                     Bien que les dix principales menaces se soient peu ou prou retrouvées
                                                                                                                                                                                                                                     dans pratiquement tous les pays en 2015, les rapports de télémétrie
                                                                                                                                                                                                                                     des internautes qui utilisent nos produits dans chaque région du
                                                                                                                                                                                                                                     monde présentaient des profils de menaces distincts. L'Europe a été
                                                                                                                                                                                                                                     particulièrement touchée par le kit d'exploitation Angler. De plus, elle a
                                                                                                                                                                                                                                     fréquemment été la cible du cheval de Troie Trojan:JS/Redirector ainsi
                    La disponibilité du code source
                    pourrait en partie contribuer à                                                                                                                                                                                  que d'attaques par fichiers contenant des macros qui téléchargent des
                    la proportion considérable des                                                                                                                                                                                   ransomware. Certains pays d'Europe ont signalé des taux élevés de
                                                                             Nombre de malware Mac reçus                                                                                                                             menaces particulières.
                    backdoors parmi les menaces                                         de                                                               109
                    visant Mac OS X.                                                                                                                             115
                                                                             JANVIER à DÉCEMBRE 2015                                              100

 13+87+x
                                                                                                                                        97
                                                                                                                                88
                                    13  % (15 ÉCHANTILLONS)
                                    CHEVAL DE TROIE
                                                                                                                       74             TOTAL DES ÉCHANTILLONS
                                                                                                                                                                                                                           Suède
                                                                                                                                                                                                                           Signalement des kits d'exploitation
                                                                                                                                             (DEPUIS JANVIER)                                                              Angler et Nuclear, ainsi que de
                    73 % du total des échantillons                                                                                                                               Danemark                                  Trojan:JS/Redirector comme menaces
                    de chevaux de Troie                                                                                                                                                                                    les plus fréquentes.
                    appartiennent à la famille                                                                                                                                   Signalement de Trojan:JS/
                    Flashback, un groupe de                                                                                                                                      Redirector, d'Exploit:W32/
                                                                                                        33      35                                                               OfficeExploitPayload et d'Angler
                    malware qui téléchargent                                                28
                    des fichiers malveillants en se                                                                                                                              comme menaces les plus
                                                                                     19                                               NOMBRE D'ÉCHANTILLONS                      fréquentes.                                               Finlande
                    connectant à un site distant.                                                                                             REÇUS PAR MOIS

 2+98+x
                                                                       7     10                                                                                                                                                            Signalement d'un nombre élevé
                                                                                                                                                                                                                                           de détections de Trojan:JS/
                                    1EXPLOIT
                                       % (1 ÉCHANTILLON)                                                                                                                                                                                   Redirector, ainsi que des
                                                                                                                                                                                                                                           menaces Downadup et Angler.
                                                                      7       3      9          9       5       2      39     14        9          3      9       6               Royaume-Uni
                    Exploit:OSX/CVE-2009-1237                                                                                                                                     Nombreux signalements du
                    tire parti d'une vulnérabilité                                                                                                                                kit d'exploitation Angler, de
                                                                      JANV

                                                                             FÉV

                                                                                     MARS

                                                                                            AVR

                                                                                                        MAI

                                                                                                                JUIN

                                                                                                                       JUIL

                                                                                                                                AOU

                                                                                                                                        SEP

                                                                                                                                                  OCT

                                                                                                                                                         NOV

                                                                                                                                                                 DÉC
                    ancienne, possible cause de                                                                                                                                   Trojan:W97M/MaliciousMacro
                    déni de service.                                                                                                                                              et de Trojan:JS/Redirector.

 28+72+x                            28   % (32 ÉCHANTILLONS)
                                    AUTRES
                   Les autres menaces repérées
                   comprennent les applications
                                                                                                                                                                                                                                                   Pologne
                                                                                                                                                                                                                                                   Signalement de Trojan:W32/Autorun et du
                                                                                                                                                                                                                                                   kit d'exploitation Angler comme menaces
                                                                                                                                                                                                                                                   les plus fréquentes. Seul pays avec présence
                                                                                                                                                                                                                                                   significative du virus Virtob.
                   potentiellement indésirables
                   (API).                                                                                                                                                                                                                                           Allemagne
                                                                                                                                MALWARE ANDROID                                                                                                                     Signalement d'un nombre élevé
                               Le TOP 10 DES MALWARE ANDROID représente 25 % du                                                                                                                                                                                     de détections de Downadup,
25+75+N

                               total des malware Android détectés en 2015.                                                                                                                                                                                          d'Exploit:W32/OfficeExploitPayload
                                                                                                             2,5 %                                                                                                                                                  et de Trojan:JS/Redirector.

                                                                                            2
                                                                  15 %                          SLOCKER                                                     2,3 %

  25 %                                         1                                                                                      3
                                                   SMSSEND                                      CHEVAL DE TROIE                               FAKEINST
                                                   CHEVAL DE TROIE                              Chiffre des fichiers                          CHEVAL DE TROIE
                                                   Envoie des SMS à des                         image, texte et vidéo,                        Ressemble à un programme
                                                   numéros surfacturés à                        puis exige une rançon                         d'installation d'une
                                                   l'internaute.                                pour déverrouiller                            application populaire, mais
                                                                                                les périphériques et                          envoie en fait des SMS à                                                                                     Autriche
                                                                                                déchiffrer les fichiers.                      des numéros ou services                                                                                      Seul pays signalant une présence
  TOP 10 DES MALWARE ANDROID

                                                                                                                                              surfacturés.                                                                                                 significative du cheval de Troie
                                                   1,7 %                                                                 0,5 %                                                                                                                             bancaire Banker. Détections

                               4                                 5                                      6                                   7
                                   GINMASTER                           GINGERBREAK 1,2 %                      SMSPAY                             DROIDROOTER 0,5 %                                                                                         fréquentes des chevaux de Troie
                                   CHEVAL DE TROIE                     EXPLOIT                                CHEVAL DE TROIE                    EXPLOIT                                                                                                   FakePDF Trojan:JS/Redirector.
                                   Vole des informations               Exploite une vulnérabilité             Envoie des SMS à des               Accède aux privilèges                     France
                                   confidentielles sur les             des systèmes Android                   numéros surfacturés à              racine. Sert aussi d'outil de             Seul pays signalant un nombre
                                   périphériques touchés et            antérieurs à la version                l'internaute.                      piratage si délibérément                  significatif de chevaux de Troie
                                   les communique à un site            2.34 en vue d'accéder                                                     exécuté, en vue d'une                     SmsSend sur Android. Détections                     Suisse
                                   web distant.                        aux privilèges racine des                                                 prise de contrôle racine.                 fréquentes de Downadup et                           Signalement de Trojan:JS/Redirector
                                                              0,4 %    périphériques touchés.                                                                                              Trojan:JS/Redirector.                               et du kit d'exploitation Angler
                                                                                                                                                                                                                                               essentiellement, avec Exploit:SWF/

                                            8
                                                DIALER                                                              0,3 %                                   0,2 %
                                                                                                                                                                                                                                               Salama comme troisième menace la

                                                                                                    9                                  10
                                                CHEVAL DE TROIE                                         SMSKEY                                   COUDW
                                                Affiche constamment une                                 CHEVAL DE TROIE                                                                                       Italie                           plus fréquente.
                                                                                                                                                 CHEVAL DE TROIE
                                                page plein écran à caractère                            Envoie des SMS à des                     Ouvre une backdoor qui                                       Seul pays signalant une présence
                                                pornographique qui exhorte                              numéros surfacturés à                    permet aux pirates de                                        significative du malware de vol bancaire
                                                l'internaute à composer un                              l'internaute.                            prendre le contrôle des                                      Expiro. Détections fréquentes de
                                                numéro de téléphone.                                                                             périphériques touchés.                                       Downadup et Trojan:W32/Autorun.

  14                                                                                                                                                                                                                                                                                                        15
RESTE DU MONDE
                                                                                       Des rapports de télémétrie concernant
                                                                                       d'autres régions que l'Europe ont fait état
                               Japon                                                   d'une plus grande variété de malware,
                               Outre la constante présence                             certains pays apparaissant plus touchés que
                               de Downadup, les internautes                            la moyenne par un type particulier dans leur
                               ont le plus souvent signalé                             zone géographique.
                               des détections d'Angler et de
                               Trojan:W32/Autorun.
                                                                           Asie
                                                                           Les internautes ont le plus souvent
                                                                           été victimes de fichiers de raccourcis
                                                                           malveillants ainsi que des vers Downadup
                                                                           et Njw0rm. Les menaces liées aux botnets
                                                                           (Sality et Ramnit) ont aussi fait l'objet de
                                                                           signalements fréquents.
Inde
Le ver Downadup a été la menace la
plus souvent signalée, suivie par le
bot Sality et le ver Njw0rm.                                                       Moyen-Orient
                                                                                   Le ver Downadup reste la menace
                                                                                   la plus fréquemment signalée,

                                                                                                                                                                            03
Amérique du Nord                                                                   suivie par les fichiers de raccourcis
                                                                                   malveillants et le ver Njw0rm.

                                                                                                                                                                                 ÉTUDES DE CAS
La menace prédominante est le kit d'exploitation
Angler, suivi par les exploits Salama qui ciblent les
vulnérabilités Flash Player.                                                                      Oman
                                                                                                  Les internautes ont signalé la
                                                                                                  présence significative des vers
                                                                                                  Njw0rm et Dorkbot, ainsi que
                                                                                                  de Worm:W32/Kataja.

                      États-Unis
                      Les internautes ont signalé la
                      prédominance du kit d'exploitation
                      Angler et d'Exploit:SWF/Salama, suivis                                                                          18   Effraction dans le jardin clos
                      par Trojan:JS/Redirector.
                                                                                                                                      20   Présentation des Dukes
                                                                    Afrique
                                                                    Les signalements les plus
                                                                    courants concernent les
                                                                    fichiers de raccourcis
                                                                    malveillants, suivis par ceux du
                                                                    ver Ippedo et du bot Sality.

                         Brésil
                         Outre la constante présence de
                         Downadup, les internautes ont signalé la
                         prépondérance de Trojan:JS/Redirector                 Océanie
                         et du kit d'exploitation Angler.
                                                                               Les fichiers de raccourcis
                                                                               malveillants et Angler ont fait
                                                                               l'objet du plus grand nombre
                                                                               de signalements. Les exploits
        Amérique du Sud                                                        WormLink se sont également
                                                                               distingués.
        Les fichiers de raccourcis
        malveillants constituent
        les malware les plus
        courants, talonnés par
        les vers Downadup et                                             Australie
        Njw0rm.                                                          Le kit d'exploitation Angler,
                                                                         les exploits WormLink et
                                                                         Trojan:W97M/MaliciousMacro
                                                                         ont été les menaces les plus
                                                                         signalées.

16                                                                                                                                                                                               17
EFFRACTION
DANS LE
JARDIN CLOS
                                                                                                                                                                                                                                 CONTAMINATION
                                                                                                                                                                                                                     AU STADE DE DÉVELOPPEMENT
À l'heure actuelle, la plupart des attaques visent les             Les chercheurs des entreprises Weibo, Alibaba et Palo Alto
                                                                                                                                                     APPLE                      SOURCE TIERCE
internautes. Les pirates aiment notamment les piéger de            Networks, notamment, ont identifié la source du problème,
façon à leur faire télécharger et installer eux-mêmes des          à savoir une version contaminée de l'outil de développement                                                                                                 PIRATE
malware à leur insu (cette tactique est connue sous le nom         Xcode d'Apple. Disponible gratuitement sur les serveurs de
d'« ingénierie sociale »). Ils affectionnent également une         la société, Xcode sert à compiler des applications destinées
autre méthode, pourtant techniquement complexe, qui                aux plateformes iOS et Mac OS X. Toutefois, comme c'est le
consiste à exploiter des failles ou des lacunes permettant         cas pour de nombreux autres programmes commerciaux ou
d'infecter discrètement les périphériques des internautes.         d'entreprise, des services de partage de fichiers en proposent
Ces points faibles se trouvent en général au sein d'une            des copies téléchargeables aux développeurs qui, pour une
                                                                                                                                                                                                                                                        Données
application ou d'un appareil. Ils sont plus rarement le fait       raison quelconque, n'ont pas accès à la plateforme officielle.                                                                                                                      collectées
d'un programme, d'un processus ou d'un système sans
                                                                   Selon les journalistes, la connexion Internet au reste du monde
rapport direct avec l'internaute touché.
                                                                   étant ce qu'elle est en Chine continentale, l'accès aux serveurs
Cependant, certains pirates préfèrent les chemins détournés.       situés à l'extérieur du pays se trouve nettement ralenti, surtout
Ainsi, fin 2015, l'App Store d'Apple a enregistré une série        pour y télécharger des fichiers volumineux (environ 3,5 Go
d'incidents mettant en évidence les ramifications possibles        pour la dernière version de Xcode). Cette difficulté a incité                                DÉVELOPPEURS          Appli propre            APP                               DÉTENTEURS
des attaques qui obéissent à une autre tactique : le ciblage       de nombreux développeurs à se servir de copies de l'outil                                       D'APPLIS                                  STORE                             D'APPLICATIONS
des développeurs. Ces incidents résultaient de l'utilisation       hébergées sur des serveurs situés en Chine. Malheureusement,
d'outils infectés par des développeurs, qui avaient ainsi créé     des lignes de code avaient été ajoutées à certaines d'entre
à leur insu des applications au comportement malveillant.          elles. Lorsque les développeurs compilaient leurs applications
Celles-ci ont réussi à passer outre les procédures de contrôle     respectives à l'aide du programme Xcode contaminé, ce code
de code d'Apple pour s'immiscer dans la plateforme et, de          supplémentaire s'y introduisait discrètement à leur insu.
là, dans les périphériques iOS standard des internautes.
                                                                   Le code supplémentaire visait à communiquer des
                                                                   informations stockées sur les périphériques touchés à un                                                           Appli + code
                                                                   serveur distant. Cependant, les chercheurs ont vite remarqué                                                       malveillant
RETRAIT DES APPLICATIONS XCODEGHOST DE                             qu'il n'existait aucune trace de dommage ni de vol de données
L'APP STORE                                                        effectif. Il a néanmoins été recommandé aux internautes
Apple soumet tous les programmes qui lui sont proposés à un        ayant téléchargé des applications infectées de les supprimer
mécanisme de contrôle rigoureux avant de les ajouter à son         de leurs appareils ainsi que de changer leurs données de
référentiel de logiciels, réputé merveilleusement exempt de        connexion aux comptes de messagerie ou de réseaux sociaux
comportement malveillant. Le tout premier malware détecté          associés à ces applications en attendant que les développeurs
sur l'App Store en 2012 [1] était l'application Find & Call, qui   en fournissent une version propre.                                  des publicités. Là encore, les développeurs ignoraient que            Aujourd'hui, la plupart des détenteurs d'appareils mobiles
utilisait les coordonnées stockées sur l'appareil touché pour                                                                          leurs créations étaient infectées de façon à passer outre les         ne prêtent plus trop attention à l'avertissement standard :
envoyer du courrier indésirable. Au cours des trois années                                                                             strictes procédures de sécurité et de confidentialité mises en        « Méfiez-vous des boutiques d'applications tierces ».
suivantes, seuls deux ou trois incidents relativement mineurs                                                                          place par Apple. Bien que la société n'ait pas précisé le nombre      Manifestement, les développeurs ne sont pas plus à l'abri
se sont produits et les applications non conformes aux règles
                                                                   AUTRE VICTIME : LA PLATEFORME UNITY
                                                                   Peu après l'annonce de l'incident XcodeGhost, les chercheurs        d'applications retirées à cette occasion, la presse l'a estimé        que les « internautes lambda » des motifs qui poussent le plus
strictes d'Apple se sont vues exclues de sa boutique.                                                                                  à « plus de 250 ». Par ailleurs, l'entreprise basée en Chine à        couramment à utiliser quand même ces sources, à savoir :
                                                                   en sécurité chez PwC ont déclaré que des copies clonées
En septembre 2015, cette situation idyllique a brusquement         de la plateforme Unity en cours de distribution avaient subi        l'origine du SDK Youmi a publié des excuses officielles [6] et        l'insuffisance de la bande passante, l'accès restreint aux sites
tourné au cauchemar lorsqu'Apple a annoncé avoir retiré            une modification similaire, ce qui a valu à ces clones le nom       spécifié qu'elle « collaborait avec Apple pour résoudre ce            web étrangers et l'alléchante disponibilité garantie par les
de l'App Store plusieurs applications contaminées par un           d'UnityGhost [4]. Unity est un environnement commercial de          problème ».                                                           référentiels tiers. Dans le but de remédier au moins en partie à
programme malveillant du nom de XcodeGhost. Selon les              développement tiers qui permet de créer des applications                                                                                  cette situation, la société Apple a annoncé qu'elle prévoyait de
journalistes, plus de 30 applications étaient touchées mais        iOS (ainsi que des programmes destinés à d'autres systèmes                                                                                rendre le programme officiel Xcode plus facilement accessible
certains ont ultérieurement porté ce bilan à plus de 300 [2,3].    comme Android et Windows). Par chance, dans ce cas, aucune          CIBLAGE DES DÉVELOPPEURS                                              aux développeurs en Chine en le proposant également sur des
                                                                   application élaborée avec une copie contaminée ne s'est             Collectivement, ces incidents démontrent clairement que les           serveurs installés dans le pays [9].
Le point le plus remarquable de cet incident était qu'au                                                                               remparts protégeant l'App Store ne sont pas inviolables et
                                                                   retrouvée sur l'App Store.                                                                                                                Malgré cette récente mésaventure, l'App Store reste plus
moins une partie des applications concernées provenaient                                                                               qu'il est possible d'atteindre les propriétaires de périphériques
d'entreprises fiables et renommées dans le secteur du                                                                                                                                                        difficile à pirater que l'écosystème Android (où le vecteur
                                                                                                                                       iOS en passant d'abord par les développeurs d'applications. En        d'attaque le plus simple et le plus efficace reste l'ingénierie
développement de logiciels. La plus connue était sans doute                                                                            effet, à chaque fois, l'outil de développement utilisé en toute
l'éditeur de WeChat, un programme de messagerie très               RETRAIT DES APPLICATIONS COMPILÉES AVEC                                                                                                   sociale). Toutefois, il n'est pas inviolable. Les incidents survenus
                                                                   YOUMI                                                               innocence avait été modifié de façon à introduire discrètement        soulignent combien il est essentiel de maintenir un contrôle
répandu. D'autres applications (Railway 12306, Camcard et                                                                              un code malveillant dans le produit fini.
NetEase Cloud Music, entre autres) comptaient des millions,        Un mois plus tard, nouvel incident du même genre : des                                                                                    rigoureux tout au long du processus de développement. En
voire des dizaines de millions d'adeptes. Si la majorité d'entre   applications étaient supprimées de l'App Store, car elles           Ce type d'attaque n'était pas tout à fait nouveau : ainsi, en 2010,   effet, non seulement une contamination d'une telle ampleur
eux se trouvaient en Chine continentale, bon nombre des            recueillaient des informations concernant les internautes           un virus avait été décelé qui introduisait du code indésirable        met en péril la sécurité des internautes, mais elle ternit la
applications touchées étaient également utilisées dans             et leurs appareils [5]. Dans ce cas, elles avaient été élaborées    dans chaque fichier exécutable créé avec le programme                 réputation et l'image de fiabilité des développeurs concernés
d'autres régions du monde, dont les États-Unis et l'Europe.        à l'aide du kit de développement logiciel (SDK – Software           Delphi [7, 8]. En revanche, le dernier incident en date a eu sur      ainsi que de l'App Store même.
                                                                   Development Kit) tiers Youmi, qui permettait d'y intégrer           l'App Store des répercussions publiques sans précédent.
                                                                                                                                                                                                                                      >> Sources répertoriées à la page 38.

18                                                                                                                                                                                                                                                                           19
Vous pouvez aussi lire