Le rapport « X-Force 2011 Mid-Year Trend and Risk Report » publié par les équipes d'IBM sur montre que le marché de la téléphonie mobile est une cible privilégiée par les pirates. Selon ce document, les méthodes d'attaques menées contre les systèmes d'exploitation mobiles vont passer de 18 en 2009 à environ 35 d'ici la fin 2011, tandis que le nombre de vulnérabilités passera d'environ 65 à plus de 180 sur la même période. « Au premier semestre 2011, nous avons constaté une augmentation de l'activité des logiciels malveillants visant la dernière génération de smartphone, notamment parce que les pirates ont flairé les nombreuses opportunités sur ce type d'appareil,» affirme le rapport.

Ce dernier, qui prend les terminaux fonctionnant sous Android comme exemple, explique que certaines des applications proposées par les places de marché sont des malware. Si bien que les utilisateurs devraient être plus vigilants dans leurs choix et sur les relais où ils téléchargent leurs applications. « Les marchés d'application Android sont l'un des vecteurs les plus populaires et les plus efficaces pour distribuer des logiciels malveillants. A côté du marché officiel propre à Google, il existe de nombreux marchés tiers non-officiels, » indique le rapport. Un autre problème avec les appareils mobiles, notamment les téléphones, c'est que les utilisateurs sont dépendants du constructeur pour corriger les failles identifiées dans le système d'exploitation. Ces vulnérabilités connues peuvent rester en l'état, non pas parce que les correctifs n'existent pas, mais parce qu'ils ne sont pas fournis tels quels par les fabricants de téléphones. « De nombreux fournisseurs de téléphonie mobile ne s'embarrassent pas pour faire des mises à jour de sécurité sur leurs appareils, » indique encore le rapport.

Des logiciels de plus en plus vulnérables


En dehors de la mobilité, ceux qui luttent contre les malware sont face à une menace croissante liée à la faiblesse des logiciels évalués par le système de notation Common Vulnerability Scoring System (CVSS), ceux affichant des notes de 10/10 étant les plus critiques. Selon le CVSS, au cours du premier semestre 2011, le pourcentage de vulnérabilités critiques a fait un bond, passant de 1% à 3%, comparé à l'année 2010. Certes, ce niveau reste faible, mais il atteint tout de même le triple de l'année dernière. « Et, au milieu de l'année en cours, le nombre de vulnérabilités critiques est déjà supérieur à celui de toute l'année dernière, » indique encore le rapport. « Presque toutes ces failles critiques posent un problème sérieux : elles permettent l'exécution de code à distance, avec un impact potentiel important sur un produit logiciel de classe entreprise », ajoute encore le rapport.

Les vulnérabilités se concentrent aussi sur un nombre de plus en plus réduit de fournisseurs, comme le constate le rapport. En 2009, 10 produits logiciels se partageaient un quart (25%) de toutes les vulnérabilités les plus critiques signalées. Au milieu de cette année, ce nombre a bondi à un tiers (34%). IBM X-Force n'a pas dévoilé les noms de ce Top 10. « L'essentiel, c'est que les services informatiques des entreprises consacrent cette année autant de temps, sinon plus, à déployer des correctifs pour ces produits, » indique le rapport.

Le rapport met aussi en évidences quelques améliorations :

- Pour la première fois depuis 5 ans, les vulnérabilités affectant les applications web sont passées de 49% à 37%.

- Les vulnérabilités critiques sont au niveau d'il y a quatre ans.

- Le spam et le phishing traditionnels sont en baisse.