L'étude X-Force, du département de recherche en sécurité d'IBM, est toujours riche d'enseignements sur l'écosystème de la sécurité sur Internet. Le millésime 2009 montre que le nombre de nouvelles failles recensées (6 601) a été en baisse de 11% par rapport à 2008. Si cette nouvelle peut réjouir, les équipes d'IBM démontrent que les liens malveillants intégrés dans des documents bureautiques ont augmenté de 50%. L'étude constate que sur les cinq failles les plus importantes, trois étaient dédiées aux formats PDF. Les deux dernières étaient liées à des applications Flash ou Active X, qui permettent aux utilisateurs de lire différents documents. Les liens malveillants sur le Web ont explosé sur l'année 2009, +345% par rapport à 2008. Ce mouvement démontre le succès rencontré par les pirates dans l'hébergement de pages web infectées et l'utilisation des failles des navigateurs. IBM souligne que quatre sociétés cristallisent l'assaut des hackers, Microsoft, Adobe, Mozilla and Apple. Mais pour Tom Cross, responsable de l'étude X-Force, « ces sociétés travaillent beaucoup pour apporter des solutions aux différentes attaques » et d'ajouter « néanmoins les attaques sont devenus plus perfectionnées en utilisant des codes malveillants sur les sites Web ». Les créateurs de ces liens utilisent des méthodes pour les cacher au sein des pages web ou des applications. Une montée du phishing financier Dans son baromètre, Big Blue insiste particulièrement sur la montée en puissance du phishing. Cette méthode consiste à mettre en place une page web similaire à l'originale, mais dans le but de récolter les données notamment bancaires. Les attaques de type « hameçonnage » ont repris de la vigueur à la fin de l'année 2009 et les pays d'origine de ces charges ont changé. En 2008, l'Espagne, l'Italie et la Corée du Sud arrivaient en tête, alors qu'en 2009, le Brésil, les Etats-Unis et la Russie étaient le trio de tête. L'étude confirme également que les institutions financières sont les principales victimes de ce type d'attaques. 61% des messages comportant des techniques de phishing ont été envoyés en travestissant l'identité d'établissements bancaires et, dans 20% des cas, d'organisations gouvernementales.