Les tendances 2008 en matière de sécurité selon Symantec

vendredi 21 décembre 2007

20071221_07 Enquête après enquête, la sécurité reste un sujet de préoccupation pour les DSI. Et s'il ne s'agissait d'actes répréhensibles, qui pourrissent la vie des entreprises comme des particuliers et peuvent entraîner des pertes financières importantes, on ne pourrait que louer la créativité des cyberpirates dont les motivations aujourd'hui ne sont plus « sportives » mais beaucoup plus prosaïques et sont destinés à gagner beaucoup d'argent. Pour rendre compte de cette créativité, le vocabulaire est en perpétuelle évolution avec sans cesse des mots nouveaux : Clickbot, Smishing ou encore Vishing pour citer que quelques-uns. En 2008, la situation ne devrait pas vraiment s'améliorer. Symantec donne sa vision sur les grandes évolutions.

Evolution des bots

En 2008, il faut s'attendre diversification des bots ainsi qu'à l'évolution de leur comportement et à une apparition de sites de phishing hébergés par des réseaux zombies.

Comme les bots ont tendance à être des early adopters' des nouvelles fonctionnalités, ils peuvent être utilisés comme environnements test en vue du déploiement de nouvelles fonctionnalités malveillantes à l'encontre d'une variété de cibles, avant une exploitation à plus grande échelle.

Des bots pourraient être utilisés dans le cadre d'attaques par phishing de type client-side au détriment de titulaires ou d'utilisateurs légitimes d'un ordinateur infecté; cette façon de procéder permettrait aux phishers de contourner les mécanismes de protection classiques contre le phishing et de faire l'impasse sur la nécessité de s'appuyer sur un site web qui peut être supprimé une fois repéré.

Les bots pourraient donner aux pirates un accès spécifique aux ordinateurs infectés et leur permettre de cette façon de les détourner à leur avantage; si un propriétaire de bot pouvait faire savoir qu'il contrôle un ordinateur au sein d'une organisation ciblée, des tiers ayant des intérêts dans l'organisation en question pourraient monnayer l'utilisation de l'ordinateur usurpé en vue de collecter des informations ou de lancer des attaques.

Des bots pourraient être utilisés pour gonfler artificiellement le trafic apparent vers certains sites en piratant et en dirigeant les navigateurs vers des sites incitant les utilisateurs à souscrire, à voter ou encore à recommander certains sites internet. En gonflant le trafic Internet, un utilisateur mal intentionné pourrait se servir du site pour générer des profits publicitaires ou introduire un code malveillant utilisé par la suite dans le cadre d'activités frauduleuses. Il faut s'attendre à l'exploitation de schémas nouveaux et plus sophistiqués visant à contourner les blocages mis en place par des systèmes réputés.

Menaces Internet avancées

Comme le nombre de services Internet disponibles ne cesse d'augmenter et que les navigateurs continuent à converger vers un standard d'interprétation uniforme en matière de langages de script, JavaScript par exemple, Symantec s'attend à une augmentation des menaces internet.

Le contenu créé par les utilisateurs (UCC) peut abriter des browser exploits (exploitation de failles de sécurité dans le navigateur), propager des malwares/spywares (logiciels malveillants/espions), des publicités inopportunes (splogues) ou héberger des liens vers des sites Internet malveillants.

Plate-formes mobiles

L'intérêt manifesté à l'égard de la sécurité mobile n'a jamais été aussi fort. Les téléphones devenant plus complexes, plus intéressants et plus connectés, nous nous attendons à ce que les pirates tirent partie de la situation.

Les banques, tout comme eBay/PayPal, proposent de plus en plus des services mis à la disposition des utilisateurs par le biais de terminaux/dispositifs mobiles.

Google a annoncé le lancement du téléphone SDK le 12 novembre. Quant à l'iPhone SDK, il est attendu pour le mois de février. Il sera intéressant de voir quel accès ils fourniront aux développeurs externes.

Evolution du spam

Il est à prévoir une évolution continue du spam visant à contourner les systèmes traditionnels de blocage et à forcer les utilisateurs à prendre connaissance des messages.

Nouveaux types de pièces jointes

On s'attend à une exploitation accrue de nouveaux formats de pièces jointes comme le MP3, flash et autres.

Spams Pop culture

Les spammeurs vont continuer à mettre l'accent sur le contenu, veillant à le rendre toujours plus attrayant pour séduire leurs lecteurs, capitalisant sur l'actualité comme les campagnes présidentielles, les enthousiasmes populaires et engouements économiques.

Sites de réseaux sociaux

On s'attend à une diffusion encore plus importante de spam par le biais des sites de réseaux sociaux populaires.

Attaques ciblées

Un plus grand nombre d'attaques ciblées qui visent des machines compromises et les vulnérabilités des systèmes en vue de voler des informations personnelles.

Mondes virtuels

Au regard de l'augmentation de l'utilisation de mondes virtuels persistants (PVW) et des jeux multi-joueurs en ligne (MMOG), Symantec s'attend à l'émergence de nouvelles menaces puisque les criminels, phishers, spammeurs et autres pirates du Web tournent leurs regards vers ces nouvelles communautés.

______________________________
Petit Lexique 2007
______________________________

Attaque zero-day : Les attaques zero-day ou exploitent les failles de sécurité le jour même où la vulnérabilité est rendue publique par l'éditeur.

Bot ou PC Zombie : Bot est une abréviation de robot. Les bots sont l'un des types de logiciels criminels les plus élaborés que l'on trouve aujourd'hui sur Internet. Les bots sont semblables aux vers et aux chevaux de Troie, mais ils tirent leur nom unique de la façon dont ils exécutent un grand nombre de tâches automatisées pour le compte de leurs maîtres (les cybercriminels) qui se trouvent généralement dans un endroit sûr, à l'autre bout d'Internet. Les tâches exécutées par les bots couvrent toute la gamme d'attaques possibles : de l'envoi de spam à la destruction de sites Web, dans le cadre d'une attaque coordonnée de type "déni de service". Un ordinateur infecté par un bot se plie aux instructions de son maître, c'est pourquoi certains appellent ces machines victimes des zombies.

Clickbot : forme automatique de la fraude au clic. Les clics sont simulés par un logiciel.

Codes malicieux : Programme ou morceau de code destiné à créer des opérations illégales (comme par exemple un virus, un ver, un cheval de Troie).

Crimeware ou logiciel criminel : Les logiciels utilisés en matière de cybercriminalité sont souvent désignés par le terme crimeware. Il s'agit d'un logiciel utilisé pour commettre un acte criminel, par le biais de nombreux logiciels malicieux ou potentiellement malicieux.

Fraude aux clics : la fraude aux clics a pour cadre les annonces publicitaires en ligne, dans lesquelles le paiement est calculé au clic. Une personne, un scénario automatique ou un programme informatique se fait passer pour un utilisateur légitime du navigateur en cliquant sur l'annonce pour générer une redevance indue.

Phishing (ou hameçonnage) : Association d'un email non sollicité (spam) à un site Web illégal reproduisant le design d'un site commercial légitime et incitant l'internaute à y déposer ses coordonnées, bancaires notamment. Cette technique est aussi appelée « hameçonnage ».

Polymorphie : Les virus dits « polymorphes » ont la faculté de se modifier (au niveau de l'octet) lorsqu'ils se répliquent, afin de ne pas être détectés par les techniques simples d'analyse de chaîne.

Rootkit : Programme ou ensemble de programmes permettant à un pirate de maintenir, dans le temps, un accès frauduleux à un système informatique. Le pré requis du rootkit est une machine déjà compromise.

SMishing : un message de SMishing, variante du phishing, est envoyé par SMS. Le SMishing renvoie souvent à un site de phishing où le consommateur est invité à divulguer des données personnelles.

Virus polymorphe : ce virus se modifie chaque fois qu'il se reproduit, pour éviter d'être découvert. Il peut se comparer à un virus qui mute spontanément ou change son ADN pour attaquer son hôte.

Vishing : autre variante du phishing. Au lieu de cliquer sur un lien dans un courriel, la victime potentielle est priée d'appeler un numéro de téléphone pour faire vérifier les données de son compte. Au bout du fil, un criminel tente d'obtenir les coordonnées bancaires ou le numéro de carte de crédit du consommateur, à des fins malveillantes. Il semble que le vishing soit particulièrement efficace lorsqu'il s'agit d'extorquer des informations confidentielles au consommateur. En effet, les gens ont naturellement tendance à faire confiance aux personnes à qui elles ont affaire via une ligne téléphonique classique. Les courriels de vishing exploitent aussi la peur du consommateur : ces messages demandent souvent à la victime de réagir d'urgence pour éviter le blocage d'un compte.

Zero-day exploit : ces attaques sont ainsi appelées parce qu'il se passe ‘zéro' jour entre la découverte d'une vulnérabilité et son exploitation dans une agression. Le zero day exploit profite d'une faille dans une application Internet ou autre avant qu'elle soit signalée et qu'elle fasse l'objet d'un correctif.