Le premier rapport de la première semaine de l’année consacré pleinement à la sécurité informatique est signé par Sophos…
Edité par Sophos Labs sous le nom de « Security Threat Report 2013 », le rapport dresse les principales menaces qui nous guettent pour 2013 après avoir tiré les enseignements de 2012; année qui n’en reste pas moins, selon Sophos, celle qui a connu le plus de variétés autant dans les attaques que dans le profil de leurs instigateurs. La mobilité croissante des données dans les environnements d’entreprise également constitue l’un des plus grands vecteurs de transformation et de prolifération des menaces, empirée par l’émergence du « Cloud » et de son essor continue ainsi que la pratique dite « BYOD » -Bring your Own Device- qui ne fait, elle, que multiplier les points d’entrée des virus. Les utilisateurs sont de plus en plus enclins à utiliser leurs propres appareils, principalement des smartphones, des tablettes ou de façon basique leur ordinateur portable pour se connecter aux réseaux d’entreprise, donnant ainsi plus de fil à retordre aux services informatiques de l’entreprise et plus d’opportunités aux cybercriminels.
Aucune limite
Avant d’en arriver à 2013, il était nécessaire pour Sophos Labs de compiler dans son rapport la nature des principales menaces qu’ont rencontrées utilisateurs particuliers et professionnels en 2012. Durant cette année, aucune plate-forme ni systèmes n’ont été à l’abri : réseaux sociaux, « Cloud », Android, iOS, Windows – évidemment – (Windows RT a déjà été jailbreaké) sans exclure Mac OSx. Surtout, les auteurs de logiciels malveillants écrivent des programmes de plus en plus sophistiqués, impliquant non plus des individus seuls mais des Etats ou des organisations d’Etat ! Le plus souvent, du moins en ce qui concerne les individus, les cyber-attaquants ciblent des sites « mal configurés », d’où la nécessité d’une vigilance accrue dans l’application des mises à jour de sécurité afin de réduire ce que Sophos appelle « les surfaces d’attaque ».
De nouvelles victimes…
Pendant ce temps, une nouvelle génération de victimes se trouvait du mauvais côté, accusant le coup des attaques d’ingénierie sociale comme les faux antivirus et les ransomwares. Il fallait tout de même s’y attendre sachant qu’avec 1 milliard d’utilisateurs, Facebook reste une véritable « pépinière » à virus, malwares, hoax, liens qui renvoient vers des pages Web frauduleuses? Des chercheurs de Sophos et d’autres spécialistes de la sécurité IT ont tenté, et continuent de le faire d’ailleurs, de trouver de nouvelles approches pour protéger les utilisateurs contre les attaques qui ont pour théâtre les réseaux sociaux.
Java « débordé »
Ce fut une année difficile pour Java, utilisé dans les navigateurs Web. La majeure partie des attaques connues ont été diligentées à partir d’applications écrite sur du Java, principalement les plugins qu’ont installe sur les navigateurs Web, créant chaque fois de nouvelles vulnérabilités. En avril 2012, plus de 600 000 utilisateurs de Mac se sont retrouvés confrontés à Flashback (Flashplayer botnet), qui est le fruit d’une vulnérabilité non corrigée sur Java implémenté dans Mac OS X. Apple a dû publier un outil de retrait et un patch Java, faisant porter la responsabilité directe à Oracle qui a du coup promis de livrer plus vite et plus souvent des patchs de correction tant pour OS X que Windows et simultanément. Il n’en était qu’aux débuts de ses déboires. Plus tard, la découverte d’une nouvelle faille « zero-day » affectant Java 7 sur toutes les plates-formes et les systèmes d’exploitation n’a fait que rajouter à l’embarras d’Oracle, surtout que celle-ci avait été intégrée à un puissant kit de piratage qui était même capable de désactiver la gestion de la sécurité sur les plates-formes qui les utilisaient.
Android, la « nouvelle star »
Oui, aujourd’hui, Android est devenu la « nouvelle star » des pirates. Le modèle des attaques le plus courant attaques est l’installation d’applications factices qui ne sont en fait que des logiciels malveillants qui envoient à l’insu de son utilisateur des SMS surtaxés. Des exemples d’applications pièges ? Angry Birds, Instagram et de faux antivirus Android Products. Parmi les autres « fakeware » qu’on retrouve, les fausses mises à jour pour les navigateurs mobiles, de faux antivirus qui simulent une détection de virus et recommande l’installation d’un autre faux programme pour le déloger, etc. Cela dit, jusqu’à récemment, les attaques sur la plate-forme Android ont été relativement peu sophistiquées. Certains utilisent des méthodes pourtant révolues, comme de cacher sur une image un programme polymorphe qui change face aux algorithmes de contrôle pour éviter la détection. Mais les attaquants font des progrès. Aujourd’hui, les logiciels affectés sont capables d’obtenir un accès root (racine), installer un code malveillant et communiquer avec un site distant pour télécharger et installer des programmes malveillants supplémentaires. Il existe même, selon Sophos, des malwares Android permettant d’espionner les messages SMS entrants et les transmet à un autre numéro SMS ou à un serveur distant. Ce genre de fuite de données représente un risque important, à la fois aux individus et aux organisations. Il faut savoir que de nombreuses banques envoient par exemple des codes d’authentification à un par SMS à chaque transaction effectuée en ligne. Sophos cite les cas de Zeus / Zitmo (et versions similaires ciblant BlackBerry) qui sont capables d’intercepter les messages SMS.
OS X et Mac : ce n’est que le début
La plupart des développeurs de logiciels malveillants ont constaté qu’il était plus rentable, en temps et en développement, d’attaquer Windows plutôt que d’apprendre de nouvelles compétences nécessaires pour cibler les utilisateurs d’OS X, moins nombreux comparativement à ceux de Windows. Reprenant une analyse de Forrester Research, Sophos a indiqué que « près de la moitié des entreprises de 1 000 salariés ou plus disposent de Mac, avec une augmentation de 52% du nombre de Mac en BYOD ». L’utilisation plus courante du Mac signifie que de nombreuses organisations informatiques doivent évaluer objectivement, atténuer et anticiper les menaces de malwares liés à OS X car les risques sont en nette augmentation. De plus, une grande partie des logiciels malveillants trouvés sur des Mac sont à l’origine des logiciels écrits pour s’exécuter sur Windows et donc infectés par ce dernier lors de transferts de données. Traditionnellement, de nombreux utilisateurs de Mac sont indifférents à cette question car ils supposent que le logiciel ne se lancera pas sur leurs systèmes, et ne tiennent pas compte de cet aspect lorsqu’ils échangent des données avec des utilisateurs de Windows. Cependant attention ! Pour Sophos, ce n’est pas le système en lui-même qui pose problème mais les partitions Windows en dual-boot du Mac qui sont susceptibles d’être infectées, principalement lors de l’utilisation de sessions Windows virtualisées fonctionnant sous Parallels, VMware, VirtualBox ou même VIN, un programme Open Source. Une autre source commune d’infection par des logiciels Windows émulés sur des Mac, ce sont les faux fichiers médias pour Windows. Ces fichiers contiennent des liens auto-exécutables censés télécharger les codecs nécessaires pour lire la vidéo, mais installe en fait des malwares exploitant des failles « zero-day ». Et dire que Mac OS X est construit à l’origine sur BSD UNIX, disposant d’un modèle de sécurité fort.
Et pour 2013 ?
A quoi s’attendre en 2013 ? A des cybercriminels plus opportunistes qui exploiteront la moindre faille détectée et à des attaques à l’impact élevé pour les entreprises. Pour Sophos, 2013 est résumée par cinq tendances à surveiller au plus près. Il écrit dans son rapport qu’« en 2012, nous avons vu une augmentation des hacks par injection SQL de serveurs web et de bases de données pour voler de grandes quantités de noms d’utilisateurs et de mots de passe. Les objectifs sont variés de même que les motifs, à la fois politiques et financiers ». Or, les tensions à caractère politique risquent d’être exacerbées et les motifs financiers plus nombreux. Des « ransomwares » pour 2013 ! C’est la deuxième tendance de risque consigné dans son rapport. Déjà en 2012, Sophos avait noté un regain dans la diffusion et la qualité des logiciels malveillants dits ransomware, qui cryptent les données et celui qui en détient la clé de déchiffrement les délivre contre? évidemment une rançon. « Au cours de 2013, nous nous attendons à voir plus d’attaques de ce genre, raison pour laquelle il est impératif que les professionnels de la sécurité mettent davantage l’accent sur les mécanismes de protection et le renforcement des systèmes de sauvegarde et des procédures de restauration. » La troisième tendance se résume à la sophistication des programmes édités pour corrompre des systèmes dans la mesure où les cyber-criminels investissent énergie, temps et même argent à déployer, concevoir et partager des kits tout-en-un pour faciliter les opérations d’intrusion. Des kits auxquels ils incorporé des fonctions d’auto-script, des API, anti-forensics, etc. « Dans l’année à venir, nous verrons probablement une évolution continue dans la maturation de ces kits qui regorgeront de caractéristiques qui risquent de rendre l’accès aux systèmes encore plus simple et complet. » En revanche, la quatrième tendance concerne les applicatifs et les applets sur navigateurs Web. « L’exploitation des applicatifs à base de Java principalement est devenue plus difficile que les systèmes d’exploitation modernisés et renforcés. La disponibilité immédiate des patchs, des mises à jours, du bac à sable rend l’exploitation des failles plus difficile. Bien que nous ne nous attendions pas à voir les exploits de bugs ou de faille disparaître, nous avons pu voir une diminution de ceux-ci, qui va aller crescendo. » Enfin, la cible privilégiée pour 2013 sera sans conteste Facebook et les applications intégrées dans les médias sociaux. Cette tendance est identifiable non seulement pour les appareils mobiles, mais pour l’informatique en général.
J’ai pas vu un article disant qu’il faillait désinstaller Sophos AV car il comportait une faille de sécurité !
C’est rassurant sur Mac il font tout un topo pour dire qu’il est porteur saint en fait !