Symantec a présenté la 16ème édition de son rapport ISTR (Internet Security Threat Report). Ce dernier recense 286 millions d'attaques sur l'année 2010. Parmi celles-ci, les menaces Stuxnet et Hydraq constituent sans aucun doute l'avènement d'une ère d'attaques ciblées. Le début de l'année 2011 en témoigne avec les affaires contre le ministère de l'Economie et des Finances ou la Commission européenne. L'éditeur constate que l'utilisation de failles de type « zero days » augmente et se perfectionne.

Cette complexité se retrouve à disposition des pirates ou des apprentis pirates, via des toolkits d'attaques. Ces boîtes à outil utilisent en général les vulnérabilités des navigateurs et en particulier du langage de programmation Java (très prisé par les hackers). La mise à disposition de ces kits d'attaques est d'ailleurs relativement facile. Dans le laboratoire de sécurité de Symantec, basé à Dublin, une démonstration nous a été faite sur le kit Zeus, qui a la particularité de récupérer les données bancaires d'une personne. Un kit baptisé Unique est disponible sur Internet  et sa mise en oeuvre est relativement facile.

Les mobiles et les réseaux sociaux en forte progression

Kevin Hogan, Senior Manager Security Response EMEA chez Symantec explique « l'année 2010 a été marquée par une montée en puissance des attaques contre les téléphones portables et en particulier les smartphones, ainsi que sur les réseaux sociaux ». L'éditeur constate ainsi une hausse de 43% des failles des plates-formes mobiles. Concernant les terminaux, des chercheurs nous ont fait la démonstration de Gemini, premier cheval de troie connu sous Android. Le programme malveillant est intégré à une application (le plus souvent un jeu) qui une fois lancé s'exécute directement sur le mobile. Celui-ci permet de prendre le contrôle du téléphone à distance et de faire certaines actions, comme envoyer des SMS ou appeler un numéro surtaxé par exemple.

gemini android

Illustration: un terminal android infecté par Gemini

Les réseaux sociaux comme Facebook ou Twitter commencent aussi à être touchés par le piratage. Les attaques se concentrent autour de deux axes : le premier est l'utilisation d'URL court de type http://bit.ly/.e2reeC (il s'agit d'un exemple). L'objectif de cette technique obtenir par ces liens des informations sur la personne ou le pousser à télécharger un logiciel malveillant. Autres menaces, les fils d'actualité des sites qui ont la particularité d'avoir une distribution massive à l'ensemble des contacts. Les pirates usurpent l'identité d'un profil et diffusent ensuite un lien (en général une URL raccourcie) vers un site malveillant.

Une protection à plusieurs niveaux

L'objet d'une telle étude est bien évidemment de prendre le pouls de l'environnement sécurité pendant une année donnée, mais c'est aussi l'occasion de délivrer des recommandations. Pour Kevin Hogan « les anti-virus, anti-malwares ne suffisent plus, il faut détecter les programmes malveillants en prenant en compte leurs spécificités et leurs configurations. C'est ce que nous allons proposer avec notre technologie dénommée réputation ». Il s'agit de créer une base de données des programmes ou de logiciels, les fichiers seront alors analysés dans un cloud de Symantec qui attribuera un qualificatif, bon, neutre ou mauvais sur ces fichiers. Cette technologie devrait être intégrée prochainement dans la gamme professionnelle de l'éditeur. Pour autant, les spécialistes de la société pousse aussi les entreprises à mettre à jour et à renforcer leur politique de sécurité (correctifs, migration, etc.). Des évènements comme Wikileaks ont déjà fait prendre conscience aux entreprises de protéger les données sensibles conclut Kevin Hogan.

Illustration: Siège de Symantec à Dublin

Crédit Photo: Symantec