Rapport Sophos sur les menaces à la sécurité

:
1er semestre 2011

Évaluation du panorama des menaces

Table des matières

Quels sont les nouveaux malwares . . . . . . . . . . . . . . . . . . . . . . .4
Attaques ciblées : Le raisonnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Le piratage pour l'amusement et la gloire : présentation de LulzSec . . . . . . 5

Comment les malwares parviennent jusqu'à nous . . . . . . . . . . 6
Menaces Web : une nouvelle menace toutes les 4,5 secondes . . . . . . . . . . . . 7
Faux Antivirus : une escroquerie qui rapporte des millions . . . . . . . . . . . . . . . . . . . . . . . . 8 Infections SEO : la porte ouverte aux comportements frauduleux . . . . . . . . . . . . . . . . . 8 Le ver qui refuse de s'en aller : Stuxnet s'éternise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Stratégies de protection contre les menaces Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Systèmes d'exploitation (SE) : Les malwares Mac s'installent . . . . . . . . . . . 10
Mac : le rêve s'achève . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Microsoft Windows : malwares toujours omniprésents sur Windows XP . . . . . . . . . 11 Stratégies de protection pour les systèmes d'exploitation . . . . . . . . . . . . . . . . . . . . . . . 11

Mobilité : les ordinateurs de poche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
La hausse soudaine des malwares visant les transactions bancaires sur internet suscite l'élaboration de politiques d'utilisation acceptable (AUP) . . . . . . . . 13 Google Android : une plate-forme ouverte difficile à sécuriser . . . . . . . . . . . . . . . . . . . 13 BlackBerry : une assurance qualité rigoureuse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Les "i-systèmes d'exploitation" d'Apple : l'avantage sécurité de l'App Store . . . . . . 14 Windows Phone 7 de Microsoft : un juste milieu en matière de sécurité ? . . . . . . . . 15 Stratégies de protection pour les périphériques mobiles . . . . . . . . . . . . . . . . . . . . . . . . . 15

Réseaux sociaux : face à l'explosion des menaces, limitez l'accès à vos informations personnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Facebook : l'auto-XSS, le clickjacking et les faux sondages se multiplient . . . . . . . . 16 Twitter : attention aux URLs raccourcis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 LinkedIn : un niveau de menaces minime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Google Plus : les premiers utilisateurs exigent la confidentialité . . . . . . . . . . . . . . . . . 19 Stratégies de protection pour les réseaux sociaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Le spam et le spearphishing par courriel : toujours présents . . . . . . . . . . . . 20
Stratégies de protection pour le spam et le spearphishing par courriel . . . . . . . . . . . 21

Logiciels : les vulnérabilités se multiplient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Stratégies de protection pour les logiciels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Médias amovibles : méfiez-vous de Windows Autorun . . . . . . . . . . . . . . . . . . 24
Stratégies de protection pour les médias amovibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Législation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Législation: un travail en cours . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Cybercrime : mesures prises par le gouvernement . . . . . . . . . . . . . . . . . . . . . 27

Comment rester aux devants des menaces . . . . . . . . . . . . . .28
Sensibilisation des utilisateurs : leçons tirées d'incidents réels . . . . . . . . . . 28 Outils de protection : un guide pratique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
* NB : devises en dollars USD 2

Les malwares sont complexes, apparemment omniprésents et souvent difficiles à éliminer . Ils savent repérer vos données, même sur les périphériques mobiles et Mac . Aucun périphérique n'est à l'abri : il faut reconnaître et bloquer les menaces avant qu'elles n'agissent .
Les attaques contre des organisations de grande envergure ont été très présentes dans les médias au cours du premier semestre 2011 . A la une : des histoires de fuites de données et d'exposition d'informations sensibles forçant les entreprises à redoubler de vigilance . Pendant ce temps, les menaces de type Web, telles que les faux antivirus et les infections SEO, sont toujours en tête des vecteurs d'attaque cette année . Les utilisateurs de Mac, jusqu'ici à l'abri du danger, ont succombé aux malwares en 2011 . Face à la popularité croissante des smartphones et des réseaux sociaux, les services informatiques peinent à trouver le juste milieu entre le partage d'informations et la sécurité . L'usage mixte de ces technologies à des fins personnelles et professionnelles font que les plates-formes mobiles et les réseaux sociaux continuent à menacer les données des entreprises . Les courriels indésirables continuent à évoluer avec notamment le spearphishing, qui est devenu un art . Depuis le début de l'année, nous avons vu 150 000 échantillons de malwares par jour, ce qui revient à deux fichiers par seconde, soit 60 % de plus qu'en 2010 . Nous avons également vu 19 000 nouvelles URL malveillantes par jour au cours du premier trimestre 2011, 80 % d'entre elles étant des sites légitimes piratés ou infectés . Comme toujours, nous continuons de suivre, et dans la mesure du possible de contrecarrer, les dernières techniques d'attaques . Pour rester protégé, il est important de comprendre le mécanisme des menaces . Car c'est en construisant des remparts adaptés que vous vous défendrez contre l'entrée des malwares et que vous protègerez les opérations et la productivité de votre entreprise .

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

1

Panorama des menaces : Premier semestre 2011
Pour comprendre le mécanisme des menaces, il est important de savoir où elles se dissimulent, quelles sont leurs cibles de prédilection et pourquoi . Voici quelques-unes des statistiques les plus représentatives de la situation durant le premier semestre 2011 .

59%
:déclin de l’utilisation des courriels

150 000
échantillons de malwares
C’est le nombre contrôlé chaque jour par les SophosLabs au cours du premier semestre 2011, soit une hausse de 60 % par rapport à la même période en 2010.

Un rapport récent de comScore montre un déclin massif de 59 % de l’utilisation des courriels parmi les jeunes de 12-17 ans, et un déclin de 34 % parmi les 25-34 ans. Facebook, les SMS et les tweets sont des moyens de communication privilégiés pour une grande partie de la population.

- Une nouvelle menace Web est détectée toutes les 4,5 secondes
Les SophosLabs ont enregistré une moyenne de 19 000 nouvelles URL malveillantes par jour au premier semestre de 2011, soit une toutes les 4,5 secondes.

4,5

1 Million
d’individus dupés
Le FBI estime qu’un cybergang a dupé près d’un million de personnes pour leur faire acheter des logiciels frauduleux. Avec des prix allant de 50 à 130 USD (selon le nombre de fonctionnalités que les cybercriminels réussissent à faire acheter à leurs victimes), cela s’élève à plus de 72 000 000 USD.

2

81%
99,999%
des internautes sont des gens que vous ne connaissez pas Facebook en tête des réseaux sociaux à risque
Veillez à ne pas communiquer vos données personnelles avec un « ami » rencontré en ligne. Sophos a demandé à environ 1 700 utilisateurs quel réseau social posait le plus de risques en termes de sécurité. Facebook arrive largement en tête avec 81 % (contre 60% l’année dernière).

85%

des organisations ont établi une politique d’utilisation acceptable
Mais seulement 69 % d’entre elles appliquent une politique spécifique aux utilisateurs d’appareils portables, pourcentage qui tombe à 31 % pour les employés utilisant leurs appareils personnels.

68 593 657

des internautes ont visionné « Chocolate Rain » sur YouTube jusqu’à aujourd’hui
Si vos amis vous demandent de voir cette vidéo, ne cliquez pas. C’est peut-être un arnaque « clickjacking ».

NB . : Données recueillies au moment de l'impression . Ces chiffres sont susceptibles de changer .

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

3

Les tendances en matière de malwares
En prenant la forme d'un virus ou d'un ver, les logiciels malveillants peuvent interrompre ou bloquer les opérations informatiques, dérober des informations confidentielles ou sensibles, ou encore gagner l'accès aux ressources système . Depuis janvier 2011, de nombreuses entreprises de grande envergure ont été victimes d'attaques sérieuses, avec des conséquences graves causées par des fuites de données . Les motivations de ces attaques sont variées : l'amusement, l'argent, les revendications politiques; mais d'autres en revanche demeurent inconnues .

Attaques ciblées : raisonnement
Les auteurs des attaques ciblées sont patients, expérimentés et généralement bien financés . Ils sont attirés par le gain de sommes considérables .
Ces cybercriminels contournent les contrôles de sécurité du réseau sur une durée prolongée . Leur discrétion et leur patience leur permet de s'introduire dans les réseaux et de dérober des informations . Parmi les attaques les plus notables du premier trimestre, l'on retrouve le piratage du RSA, et les attaques de Lockheed Martin et du Fond Monétaire International (FMI) . Les hacktivistes, en revanche, se livrent souvent à des attaques ayant trait à la revendication politique plutôt qu'à l'enrichissement .

4

Le piratage pour l'amusement et la gloire : présentation de LulzSec
Les hacktivistes font du piratage à des fins politiques . Ils attaquent entreprises, institutions et sites Internet pour soutenir une cause . En infectant des pages web, en redirigeant le trafic, en lançant des attaques par déni de service et en dérobant des informations, ces groupes cherchent avant tout à se faire remarquer .
Le groupe d'hactivistes notoire Lulz Security, ou LulzSec, a fait l'actualité ces derniers temps . LulzSec, ou Lulz, un groupement de pirates Internet, a revendiqué entre autres la cyber-guerre sans relâche contre Sony, et les attaques de PBS, le sénat Américain, la CIA, et la filiale du FBI InfraGard . Avec un nom faisant référence au terme Internet LOL (MDR en français), le groupement dit exposer les vulnérabilités des sites Internet et des entreprises pour se divertir . A l'heure ou ce rapport était publié, la police du comté d'Essex, Royaume-Uni venait d'appréhender un homme de 19 ans pour suspicion de piratage en relation avec une série d'infractions et d'attaques par déni de service contre plusieurs entreprises . Bien que tenant encore de la rumeur, l'on présume que son arrestation était liée aux attaques attribuées à LulzSec .

LulzSec a posté un communiqué de presse annonçant que sa croisière de 50 jours s'était achevée, et que le groupe devait maintenant prendre le large . Peu après, un autre groupe de pirates du nom de A-Team, a publié un document dans lequel il prétend révéler les identités de certains membres de LulzSec . Bien que certains pensent que le piratage est un jeu qui permet de faire ressortir les vulnérabilités, les hacktivistes peuvent exposer les données personnelles des entreprises et des individus . Aux ÉtatsUnis, l'administration Obama cherche à augmenter les peines de ceux qui s'infiltrent dans les réseaux du gouvernement ou qui mettent potentiellement en danger la sécurité nationale .

Trouvez-vous les activités de LulzSec amusantes ?
Non, le piratage et les attaques DDoS visant les entreprises n’ont rien d’amusant . 43,33 % (669 votes) .

Oui, elles sont amusantes . Et elles mettent en avant les vulnérabilités . Elles devraient être plus puissantes encore . 39,57 % (611 votes).

Oui, elles sont amusantes . Mais je n’approuve ce qu’elles font . 17,1 % (264 votes). TOTAL : 1 544 Source : enquête Sophos

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

5

Comment les malwares parviennent jusqu'à nous
Les pirates peuvent distribuer des logiciels malveillants au travers de liens légitimes, de systèmes d'exploitation, de logiciels exécutés sur les ordinateurs fixes et portables, de courriels et de pièces jointes . Même les périphériques mobiles et les réseaux sociaux font l'objet d'attaques . Alors, avant de vous engager sur le terrain accidenté qu'est la navigation Internet, vérifiez vos pneus, attachez vos ceintures et assurez-vous que votre airbag fonctionne .

6

Menaces Web : une nouvelle menace toutes les 4,5 secondes
Les cybercriminels profitent de notre utilisation quasi-constante du Web pour lancer des attaques malveillantes . Par conséquent, Internet est le vecteur principal d'offensives de ce type . Pendant le premier semestre 2011, nous avons vu en moyenne 19 000 nouveaux URL malveillants par jour, soit un toutes les 4,5 secondes .
De nombreux utilisateurs ne se rendent toujours pas compte que leur ordinateur risque d'être infecté lorsqu'ils visitent un site Web d'apparence inoffensif . Pourtant plus de 80 % des URL malveillantes que nous avons rencontrées étaient des sites légitimes piratés . Présents aux quatre coins du globe, ces criminels tentent de dérober les données présentes sur les sites légitimes . Ils y parviennent en exploitant les vulnérabilités dans le logiciel qui alimente les sites ou en volant des identifiants de connexion à partir de machines infectées . Les États-Unis sont toujours en tête des pays hébergeant le plus de malwares, bien que le pourcentage total de ceux-ci a baissé de 1,4 points durant le premier semestre 2011, contre 39,39% en 2010 . La Fédération Russe est en deuxième position, succédant ainsi à la France en 2010 . Les faux logiciels antivirus, ou encore rogueware ou scareware, ainsi que l'infection SEO sont deux des menaces Web les plus courantes et les plus persistantes actuellement . Utilisées séparément ou conjointement, elles permettent aux cybercriminels de prendre le contrôle de votre ordinateur .

Top 10 des pays hébergeant du malware (via des pages web infectées) - 1er janvier au 22 juin 2011
États-Unis 37,9 % Fédération russe 13,06 % Allemagne 7,88 % France 7,06 % Chine 4,63 % Pologne 2,91 % Royaume-Uni 2,67 % Ukraine 2,61 % Pays-Bas 2,4 % République Tchèque 1,74 % TOTAL 82,86 % Autres 17,14 %

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

7

Comment les malwares parviennent jusqu'à nous

Faux Antivirus : une escroquerie qui rapporte des millions

En 2010, les faux antivirus comptaient parmi les menaces les plus persistantes de l'année, tendance qui s'est confirmée durant le premier semestre 2011 . Ces attaques ciblent maintenant les utilisateurs Mac . Comment font-ils ? Un faux message antivirus alerte l'utilisateur que son système est en proie à un virus, en général par une fenêtre popup . Ces messages paraissent authentiques, d'autant plus qu'ils sont agrémentés de logos et de certifications copiés sur les vrais éditeurs d'antivirus . L'utilisateur, convaincu du problème, se laisse alors piéger par l'escroquerie . La fenêtre popup conseille l'achat d'un logiciel antivirus pour supprimer le virus le plus vite possible . Bien sûr, l'utilisateur ne paye pas le logiciel, mais les cybercriminels . Et dans bien des cas, les pirates profitent de l'intrusion pour installer des malwares supplémentaires sur votre machine, dans le but de dérober vos détails bancaires . Le FBI a récemment démantelé un cybergang qui a piégé presque un million de personnes, dans une escroquerie de faux antivirus . Avec des prix entre 50 et 130 USD, la fraude a rapporté plus de 72 millions USD .

De nombreux utilisateurs de Windows sont toujours en proie à ce type d'escroqueries, et nous constatons désormais que de plus en plus d'utilisateurs Mac en font également les frais . Dans certains cas, les arnaqueurs installent un programme sur le Mac, qui lance l'ouverture spontanée de sites pornographiques pour inciter l'utilisateur à acheter le faux " antidote " . Ce n'est cependant qu'une technique rusée d'ingénierie sociale qui incite l'utilisateur à divulguer ses détails de carte bancaire en le portant à croire que son Mac est infecté .
Infections SEO : la porte ouverte aux comportements frauduleux

Le moteur de recherche est notre passerelle vers Internet . C'est la raison pour laquelle les cybercriminels manipulent les résultats de recherche de sites comme Google, Bing et Yahoo pour attirer les victimes vers leurs pages malveillantes . L'optimisation des moteurs de recherche, ou SEO, est une technique courante de marketing Web, utilisée par de nombreuses entreprises pour générer du trafic vers leurs sites . Mais c'est une technique dont on peut abuser . L'exploitation criminelle du SEO, est connue sous le terme d'infection SEO, ou Black Hat SEO .

Attaques Black Hat SEO Aperçu des détections SWA 20-25 mai 2011

Autres 13 %

8

Les pirates utilisent des techniques d'infection SEO pour faire figurer leurs sites en tête des résultats de recherche et rediriger les utilisateurs vers des sites malveillants . Pour maximiser le nombre de victimes, les cybercriminels piratent les termes de recherche susceptibles de générer beaucoup de trafic, tels que les sujets d'actualité et les tendances populaires . Mais ils piratent également des termes ordinaires et ciblent des personnes cherchant par exemple des informations sur le montage d'alarmes antivol ou encore l'anatomie du coeur . Des malwares tels que les virus, les vers ou les chevaux de Troie se faisant passer pour des antivirus se chargent sur l'ordinateur lorsque, par inadvertance, l'on visite un site malveillant . Le site frauduleux peut charger des composants PDF ou Java malveillants visant à exploiter d'éventuelles vulnérabilités logicielles . Si l'opération réussit, ce téléchargement passif entraîne l'installation de malwares sur votre machine . Nous avons dernièrement suivi une nouvelle vague d'infections SEO qui réussissent à capturer le trafic . Les techniques de " Black Hat SEO " saturent les sites légitimes de contenu jugé prioritaire sur les moteurs de recherche, puis redirigent discrètement les utilisateurs vers des sites malveillants . Les résultats piratés figurent aussi bien dans les résultats classiques que dans les résultats d'images . Les attaques par " Black Hat SEO " sont extrêmement efficaces . Une capture d'écran des principaux malwares bloqués sur les applications Web de nos clients montre que les " Black Hat SEO " constituent plus de 30 % de toutes les détections .

Le ver qui refuse de s'en aller : Stuxnet s'éternise

Le ver Windows Stuxnet, qui selon les experts est un ver extrêmement sophistiqué à deux fonctions parallèles, continue à opérer en 2011 . Certains spécialistes craignent que ce malware ne constitue une nouvelle forme de guerre industrielle, qui pourrait sévèrement nuire aux États-Unis ainsi qu'à d'autres nations . D'autres avancent que le gouvernement Américain était en fait responsable du ver, question à laquelle le sous-secrétaire à la défense William Lynn n'a pas apporté de réponse durant une interview récente sur CNBC . Quelle que soit son origine, Stuxnet a ouvert la voie à une multitude d'autres menaces qui, bien au-delà des arnaques à but lucratif, entrent dans le domaine du vol d'informations vitales à la sécurité nationale ou qui perturbent l'infrastructure même du pays . Le Royaume-Uni a renforcé ses défenses cybernétiques, en partie pour répondre à Stuxnet .

Stratégies de protection contre les menaces Web
Pour réduire les risques, l'utilisation d'Internet doit être filtrée par une technologie de protection sophistiquée, capable de détecter les malwares sur les sites piratés et de répondre rapidement aux domaines et aux URL émergeants malveillants . Il est primordial d'éduquer ceux qui sont tentés de contourner la protection sur son importance, et de surveiller de près l'accès aux proxies de type Web . Il est bien sûr recommandé de télécharger et d'installer un logiciel antivirus aussi bien sur les PC que sur les Mac .

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

9

Comment les malwares parviennent jusqu'à nous

Systèmes d'exploitation (SE) : les malwares Mac s'installent
Mac : Le rêve s'achève

Juste au moment où vous pensiez qu'aucun malware ne pourrait s'attaquer à Apple . . . ceux-ci mordent dans la pomme! Les créateurs de malwares ont découvert de nouveaux horizons sur Mac et ne sont pas prêts de s'arrêter .
C'est le plus grand incident dans l'environnement Mac des dix dernières années : de vrais malwares infectent ses utilisateurs, en utilisant les techniques courantes telles que les faux antivirus et les infections SEO .

Le faux antivirus “MacDefender”, a suscité plus de 60 000 appels vers le support technique d'Apple, les forçant à réfléchir au problème . Deux autres escroqueries ont suivi, “Mac Protector” et “Mac Guard” . Mac Guard est particulièrement inquiétant par sa capacité à s'installer automatiquement sans l'aide d'un mot de passe administrateur . Par conséquent, Apple a mis en place un système d'authentification fondée sur le savoir (KBA) permettant de prouver l'identité de l'utilisateur, et met fréquemment à jour Xprotect, la solution antimalwares intégrée dans les versions récentes de Mac OS X . Dans une enquête Sophos publiée sur notre page Facebook, nous avons demandé aux gens s'ils conseilleraient à leur entourage d'installer un antivirus sur leur Mac . 89 % des 968 personnes interrogées ont répondu oui .

Recommanderiez-vous maintenant à vos amis et votre famille utilisant des Mac d’installer un logiciel antivirus ?

N : 968 Source : Enquête Sophos

10

Microsoft Windows : malwares toujours omniprésents sur Windows XP

Comme nous l'avons vu, les malwares peuvent infecter les machines, toutes plates-formes confondues . Windows est bien connu pour être en proie aux malwares; c'est sa popularité qui le rend aussi attirant auprès des cybercriminels .
Microsoft recueille les données d'environ 600 million d'ordinateurs, ce qui permet de mieux comprendre comment les malwares touchent Windows . Le dernier rapport Microsoft, leur dixième Security Intelligence Report, montre une croissance des malwares ciblant Windows 7, qui est maintenant installé sur environ un quart des ordinateurs Windows . Bien que le nombre de nouveaux malwares créés spécialement pour Windows XP ait baissé, l'on constate toujours que la moitié des malwares écrits pour Windows sont destinés à la version XP .

Stratégies de protection pour les systèmes d'exploitation
La manière la plus simple d'éliminer les malwares est de maîtriser les problèmes de sécurité ainsi que les vulnérabilités Mac et Windows . Pour bloquer l'installation systématique des fichiers "fiables", il est conseillé de décocher la case autorisant leur ouverture automatique après téléchargement, que vous trouverez dans le menu des préférences de votre navigateur . Il est également primordial d'installer tous les correctifs dès réception pour vous permettre de profiter des corrections des nouvelles vulnérabilités . Vous pouvez également protéger votre entreprise au moyen d'une protection pour les systèmes d'extrémité et d'un antivirus pour Windows .

Les malwares continuent de cibler Windows

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

11

Comment les malwares parviennent jusqu'à nous

Mobilité : les ordinateurs de poche
Une multitude de périphériques mobiles, tels que les smartphones et tablettes, se connectent au réseau professionnel tous les jours . Il est donc vital que les entreprises comprennent que ces appareils font office de PC de poche et sont par conséquent tout aussi vulnérables, et pour cause : ils exécutent un système d'exploitation et fournissent l'accès au Web . C'est pourtant difficile de protéger les périphériques mobiles et qui plus est, de communiquer la nécessité de les protéger .
Nous avons réalisé dernièrement un sondage à échelle mondiale, dans lequel nous interrogions des professionnels de la sécurité au sujet de l'utilisation des périphériques mobiles et de l'accès aux ressources de l'entreprise . Seulement 6 % des 240 réponses ont affirmé ne pas autoriser l'accès aux ressources de l'entreprise aux périphériques mobiles, avec en tête les systèmes d'exploitation pour BlackBerry et Windows . L'enquête a également révélé que plus de 85 % des entreprises ont déjà élaboré une politique d'utilisation (AUP), mais que seulement 69 % d'entre elles ont mis en place des politiques destinées spécifiquement aux périphériques mobiles appartenant à l'entreprise . Ce chiffre baisse encore davantage pour les politiques destinées aux périphériques appartenant à l'employé, ce qui fait ressortir le besoin d'élaborer des politiques couvrant tous les périphériques mobiles, qu'ils soient fournis par l'entreprise ou la propriété de l'employé .

Utilisation des appareils portables et accès aux ressources professionnelles

Ne permettent pas l’accès des appareils portables aux ressources de l’entreprise

N : 242 Source : Enquête Sophos

Utilisation des appareils portables et AUP
Politique pour les employés sur réseau utilisant un PC ou un ordinateur portable de l’entreprise et pour les employés distants ou hors réseau utilisant un ordinateur portable de l’entreprise Politique pour les employés distants ou hors réseau utilisant un ordinateur portable de l’entreprise Politique pour les utilisateurs d’appareils portables appartenant à l’entreprise

Politique pour les utilisateurs d’appareils portables personnels

Politique pour les ordinateurs portables appartenant aux employés

Politique pour les utilisateurs invités

N : 211 Source : Enquête Sophos

12

La hausse soudaine des malwares visant les transactions bancaires sur internet suscite l'élaboration de politiques d'utilisation acceptable (AUP)

Le cabinet Forrester Research prédit que 20 % des adultes américains réaliseront des opérations bancaires depuis leur téléphone portable d'ici 2015, contre 12 % aujourd'hui . Il est donc de plus en plus important de maintenir l'intégrité et la confidentialité des réseaux, des données de l'entreprise et des informations personnelles, d'autant plus depuis la découverte de malwares visant les applications de banques en ligne en 2011 . Le premier, OddJob a été découvert en février . Il maintient la session ouverte même après la déconnexion présumée de l'utilisateur . En exploitant le token d'identification de la session (dont les banques se servent pour identifier la session en ligne d'un utilisateur), les cybercriminels peuvent se faire passer pour un utilisateur légitime de manière électronique et réaliser une multitude d'opérations bancaires . OddJob a ciblé des smartphones Symbian et BlackBerry et des clients aux États-Unis, en Pologne et au Danemark . Le deuxième, Zitmo ou Zeus Mitmo (un amalgame de “Zeus in the Mobile” ou Zeus “Man-in-the-Mobile”), vise à contourner l'authentification à deux facteurs utilisée couramment dans le domaine des banques en ligne . Ce cheval de Troie, qui cible les téléphones Android, Symbian, Windows Mobile et BlackBerry, demande des détails tels que le numéro de GSM, le type de périphérique et le mTAN de l'utilisateur : le numéro d'autorisation d'une transaction mobile (mobile transaction authorization number) . Une fois installée, l'application filtre les SMS entrants à la recherche de transactions bancaires, et installe une porte dérobée (backdoor) pour recevoir des commandes via SMS . Elle crée sa propre base de données malveillante sur le téléphone pour stocker les données financières recueillies . Avec ces informations, un pirate peut accéder à votre plate-forme bancaire en ligne et réaliser des

transactions frauduleuses en contournant les procédures de sécurité de la banque . Jusqu'à présent, cette technique a été dévastatrice en Pologne et en Espagne . Chaque développeur de téléphonie mobile possède sa propre stratégie de sécurité, certaines plus efficaces que d'autres . En comprenant comment le système d'exploitation d'un smartphone peut aider à nous protéger, l'on peut se prévenir contre les malwares .
Google Android : une plate-forme ouverte difficile à sécuriser

Les ventes d'Android continuent à progresser sur le marché américain . La société d'analyse comScore a enregistré une hausse de 6 % dans le premier trimestre 2011, bien que la part de marché varie selon les pays . Le caractère ouvert d'Android, et la disponibilité d'applications provenant de marchés alternatifs, compliquent la protection des périphériques utilisant cette plate-forme . Bien que Google fournisse un système d'exploitation " de référence ", chaque fabricant personnalise et teste le périphérique qu'il produit . Une multitude de différents téléphones Android sont produits pour une multitude d'opérateurs différents . Par conséquent, chaque modèle est doté d'un système d'exploitation unique . Chaque opérateur apporte à son tour sa propre personnalisation au produit, ce qui crée une diversification encore plus importante . C'est peut-être pour cela que le taux de nouveaux malwares pour Android est en constante augmentation . Une multitude de malwares différents ont fait leur apparition sur le marché Android pendant le premier semestre 2011, dont certains chevaux de Troie qui envoyaient des SMS, publiés par des cybercriminels inconnus . En mars, un incident sérieux attribué au malware Droid Dreama a touché plus de 50 applications Android . En juin, Google a retiré au moins 10 applications du marché Android, atteintes du malware Plankton, destiné à dérober des données personnelles sur le téléphone .

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

13

Comment les malwares parviennent jusqu'à nous

Une autre vulnérabilité, identifiée dans la version beta de Skype pour Android, cause la fuite des données sensibles . Skype a promis de corriger cette vulnérabilité . Des chercheurs à l'université de Ulm ont médiatisé une faille présente dans 99 % des périphériques Android qui permet à des tiers de consulter le calendrier Google et les Contacts d'autrui . Bien que Google ait corrigé cette faille, il existe toujours un problème au niveau des vulnérabilités sur les périphériques Android eux-mêmes qui est plus difficile à régler . Étant donné que ce sont les fabricants et les opérateurs qui distribuent les mises à jour du système d'exploitation générées par Google, il est fortement probable que les utilisateurs ne les reçoivent pas toujours dès leur sortie, ce qui représente un réel problème . Avant que la mise à jour ne parvienne à l'utilisateur, il faut d'abord que Google résolve le bug, puis que le fabricant corrige son propre système d'exploitation puis que l'opérateur décide de distribuer le correctif . Cependant les vulnérabilités ne se confinent pas uniquement aux smartphones Android . Les tablettes, telles que le Galaxy Tab de Samsung ou le Flyer de HTC, qui exécutent le même système d'opération sont aussi à risque, ce qui met les données de l'utilisateur en danger . Google est sous pression sur deux fronts distincts . D'un côté, les utilisateurs exigent une meilleure sécurité . Et de l'autre, les vendeurs de sécurité tels que Sophos souhaitent que Google fournisse de meilleures interfaces pour optimiser l'efficacité de leurs logiciels contre la vague croissante de malwares pour Android .
BlackBerry : une assurance qualité rigoureuse

RIM contrôle de manière centralisée tous les logiciels et mises à jour des BlackBerry . Parce que personne d'autre ne produit ses appareils, RIM est en mesure de contrôler leur qualité de près de manière à repérer les défauts et à améliorer la fréquence de distribution des correctifs et des mises à jour correspondants . Ceci n'élimine pas pour autant les vulnérabilités . Le concours PWN2OWN, proposé par HP, met au défi des pirates "déontologiques" d'exécuter un code arbitraire (PWN) sur les portables ou les téléphones portables au moyen d'un exploit de navigateur inconnu . Ceux d'entre eux qui réussissent gagnent un périphérique mobile (OWN) . Les participants ont réussi à exploiter une faille logicielle dans le code du webkit du navigateur Google Chrome grâce auquel ils auraient pu attaquer les BlackBerry . Google a corrigé le code défectueux en un temps record . Et en juillet 2011, RIM a publié un communiqué visant à résoudre plusieurs problèmes d'Adobe Flash, dont le plus grave aurait pu exécuter un code à distance sur n'importe quelle application utilisant Flash, y compris le produit le plus récent, le BlackBerry PlayBook . Bien qu'aucune attaque n'ait été signalée au moment de l'impression de ce rapport, RIM a conseillé aux utilisateurs de PlayBook de mettre à jour leur logiciel de manière à se défendre contre des vulnérabilités éventuelles de Flash .
Les "i-systèmes d'exploitation" Apple : l'avantage sécurité de l'App Store

Les États-Unis compteront environ 150 million d'utilisateurs de smartphones mi 2011, dont 120 millions utilisant le Web .
Source: Nielsen

Bien que sa part de marché soit en déclin en raison de la sortie de l'iPhone et de la perte de confiance de ses investisseurs, le BlackBerry de Research in Motion (RIM) jouit toujours d'une popularité constante auprès des entreprises .

Les iPhones et iPads jouissent du même avantage que RIM puisque Apple contrôle aussi bien la production des appareils que du système d'exploitation .

14

Ils bénéficient en plus de l'App Store d'Apple qui fait tampon en examinant minutieusement les applications en fonction de règles strictes, ce qui élimine presque entièrement les risques associés aux applications non conformes . Par conséquent, les utilisateurs disposés à payer leurs applications restent plus ou moins à l'abri des risques . En revanche, ceux qui “ jailbreakent ” leurs iPhones pour altérer le système d'exploitation compromettent leur sécurité et s'exposent au risque de télécharger des applications modifiées à des fins malveillantes . Un bug de suivi de destination découvert sur les iPhones et iPads a provoqué une réaction violente vis-à-vis d'Apple, car en stockant sur le téléphone des données relatives au positionnement de l'appareil, il permettrait en théorie à quiconque pouvant s'infiltrer sur le périphérique de suivre les déplacements de l'utilisateur . Apple a depuis publié une mise à jour d'iOS pour résoudre cette faille en espérant regagner les faveurs de la communauté Mac .
Windows Phone 7 de Microsoft : un juste milieu en matière de sécurité ?

Par exemple, lorsque Microsoft a essayé de pousser une mise à jour pour le Windows Phone 7 en début d'année, certains téléphones Samsung Omnia ont été bloqués et rendus inutilisables, sans possibilité de récupération des données .

Stratégies de protection pour les périphériques mobiles
Aujourd'hui, la plupart des gens utilisent leur(s) périphérique(s) mobile(s) aussi bien à des fins personnelles que professionnelles . Bien que les services informatiques des entreprises traditionnelles aient essayé de faire la distinction entre les technologies destinées au travail et celles destinées au loisirs, les deux se mélangent inévitablement . Ì Ceci accentue l'importance d'un programme de sécurité pour les ordinateurs de poche, composé d'une sensibilisation et d'une formation continue des utilisateurs ainsi que la mise en place de politiques, du chiffrement, des paresfeu et des mots de passe de connexion . Tous les utilisateurs de smartphones feraient bien de choisir un mot de passe fiable pour leur téléphone . Une nouvelle enquête d'Apple suggère que 15 % de tous les propriétaires d'iPhones utilisent l'un des dix mots de passe les plus faciles à deviner sur leur écran de verrouillage . Ì Pour plus de conseils pratiques concernant la protection de périphériques mobiles, téléchargez 7 Conseils pour Protéger les Employés Itinérants. Ì Informez-vous sur Sophos Mobile Control, notre solution pour les périphériques mobiles qui offre la protection des données, le contrôle de la conformité et des périphériques.

Tout comme RIM et Apple, Microsoft contrôle de manière centralisée la distribution des mises à jour pour la plateforme Windows Phone . Mais contrairement au BlackBerry et à l'iPhone, les téléphones Windows sont produits par plusieurs fabricants et distribués par plusieurs opérateurs . Bien que Microsoft ne contrôle pas ses téléphones d'aussi près que RIM ou Apple, le processus de mise à jour ne dépend pas des fabricants et opérateurs, comme dans le cas d'Android . En matière de sécurité, Windows Phones se positionne donc au juste milieu . Grâce à son contrôle centralisé des mises à jour, Microsoft peut appliquer les correctifs dès la résolution des failles . Mais parce que les fabricants et les opérateurs n'ont aucun contrôle sur les mises à jour à installer, l'approche ne va pas sans risque .

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

15

Comment les malwares parviennent jusqu'à nous

Réseaux sociaux : face à l'explosion des menaces, limitez l'accès à vos informations personnelles
Les problèmes de confidentialité sur les réseaux sociaux ont dominé l'actualité durant le premier semestre 2011 . Sur la plupart des réseaux sociaux, les paramètres par défaut incitent au partage . L'utilisateur doit lui-même modifier ses options selon le degré de confidentialité voulu . Le nombre de personnes ayant accès à vos informations personnelles (amis ou autres) entraîne une multitude de problèmes de sécurité .
Pour obtenir une estimation plus juste du nombre de problèmes de sécurité posés par les réseaux sociaux, nous avons récemment réalisé un sondage interrogeant les personnes sur le degré de spam, de phishing et de malwares rencontrés dans leur entreprise . Sur environ 2 000 personnes, 71 % ont répondu qu'elles ou un collègue avaient reçu du spam, 45 % des malwares et que 46 % avaient fait l'objet d'une tentative de phishing à travers un site de réseautage social . Pour ce qui est des autres, certains n'avaient jamais rencontré de problèmes et les autres n'en étaient pas sûrs . Grâce à la diversité des informations personnelles disponibles sur les réseaux sociaux, les cybercriminels peuvent adapter leurs attaques à vos goûts et intérêts personnels . Cette technique portant le nom d'ingénierie sociale complique le repérage des menaces à la sécurité . Nous donnons ci-dessous plus d'informations concernant certaines des attaques les plus récentes et les problèmes de sécurité qui assaillent les trois réseaux sociaux principaux, Facebook, Twitter et LinkedIn, et un avant goût de Google+ :

Facebook : l'auto-XSS, le clickjacking et les faux sondages se multiplient

Avec un public aussi large, Facebook est une cible prisée en matière d'escroqueries . Il peut également disséminer vos informations personnelles bien au-delà de votre groupe de contacts . Les utilisateurs feraient bien de se souvenir que Facebook est rémunéré par ses annonceurs, non par ses utilisateurs . Les annonceurs voulant toucher un public aussi large que possible, Facebook partage vos données avec tout le monde, et pas seulement vos contacts . Plus récemment, la technologie de reconnaissance faciale de Facebook propose automatiquement à vos amis de vous identifier, à moins de la désactiver . Les escroqueries sur Facebook incluent le " cross-site scripting ", le " clickjacking ", les faux-sondages et l'usurpation d'identité . L'une des attaques les plus employées du moment est le " cross-site scripting " or “ Self-XSS ” . Les messages Facebook tels que "Pourquoi êtes-vous identifié dans cette vidéo ? " et le bouton Je n'aime pas! sur Facebook vous dirigent vers une page qui tente de vous faire copier et coller du code JavaScript malveillant dans la barre d'adresse de votre navigateur . Les attaques de Self-XSS peuvent se camoufler et s'exécuter sans être détectées, car le JavaScript présent sur votre ordinateur permet l'installation de malwares sans que vous en soyez conscient . Les escroqueries Facebook exploitent également votre intérêt pour l'actualité, les loisirs et autres activités qui vous pousseraient à révéler vos informations personnelles dans la plus grande innocence . Les posts Facebook vous incitant à créer un nom d'invité pour le mariage princier ou pour la fête des mères semblent tout à fait inoffensifs, jusqu'à apprendre que les noms et dates de naissance de vos enfants, de vos animaux de compagnie et de votre rue sont irréversiblement inscrits sur le Web .

Les meilleures pratiques de sécurité sur Facebook
Ì Ajustez vos paramètres de confidentialité sur Facebook Ì Lisez la politique de confidentialité Facebook Ì Choisissez soigneusement vos contacts Ì Montrez à certains amis une version limitée de votre profil Ì Désactivez les options, puis réactivez-les une par une Ì Lisez attentivement les directives

16

Et étant donné que ces informations font souvent office de mots de passe ou répondent à des questions d'identification, leur divulgation peut entraîner l'usurpation d'identité . Parmi les autres attaques dont font l'objet les utilisateurs de Facebook, l'on peut citer le “clickjacking”, “likejacking” ou encore “UI redressing” . Cette technique malveillante incite les utilisateurs Web à révéler des informations confidentielles ou prend le contrôle de leur ordinateur lorsqu'ils cliquent sur des pages Web d'apparence légitime . Le clickjacking prend la forme de code ou de script intégré qui peut s'exécuter à l'insu de l'utilisateur . Il peut se camoufler derrière un bouton qui prétend avoir une fonction tout autre . En cliquant sur ce bouton, le malware est envoyé aux contacts présents dans vos commentaires et ainsi, continue à se propager . Les pirates essayent d'attiser votre curiosité avec des messages tels que "Exercices minceur - résultats immédiats !" et "La pub pour les préservatifs la plus drôle du monde - MDR" . Ces deux escroqueries dirigent les utilisateurs vers une page Web les incitant à regarder une vidéo . Le fait de l'ouvrir partage le lien avec vos contacts via le fil d'actualité, et l'attaque se répand sur Facebook de manière virale . Le clickjacking est aussi parfois lié à des "faux sondages" qui incitent les utilisateurs à installer une application proposée par un lien piraté . Les cybercriminels exploitent des sujets d'actualité, tels que l'escroquerie de la vidéo d'Osama ben Laden, qui vous dirige vers un faux site YouTube dans le but de vous faire remplir un questionnaire . Les pirates gagnent une commission pour chaque personne qui le complète . Une fois que vous avez répondu au dit questionnaire, celui-ci est expédié à tous vos contacts Facebook .

En théorie, les nouveaux paramètres de sécurité Facebook offrent des solutions contre les escroqueries et le spam, mais malheureusement, la plupart d'entre elles sont inefficaces . Le Self-XSS, le clickjacking et les faux sondages, qui n'existaient pas il y a quelques années, font désormais partie intégrante de Facebook . Notre sondage récent sur les réseaux sociaux demandait aussi aux internautes quel réseau social était selon eux le plus dangereux . Facebook remporte 81 % des votes, contre 60 % lors de notre premier sondage l'année dernière . Twitter et MySpace ont chacun reçu 8 % des votes, et LinkedIn seulement 3 % .

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

17

Comment les malwares parviennent jusqu'à nous

Twitter : attention aux URL raccourcies

Twitter est une source précieuse d'informations en temps réel . Tout au long de la catastrophe naturelle qui s'est produite au Japon en mars dernier, les utilisateurs de Twitter ont partagé des informations et aidé à recueillir des fonds . Malheureusement, comme souvent, des escrocs ont tenté d'exploiter le sentiment général de solidarité pour s'enrichir personnellement . Dans l'une de ces escroqueries , les pirates se faisaient passer pour la Croix Rouge britannique sur Twitter, et demandaient aux utilisateurs du site de transférer des fonds à une adresse électronique Yahoo, via Moneybookers . Dans une autre, des courriels ressemblant à des notifications Twitter comportaient des liens dangereux vers une vidéo du tsunami . En cliquant sur ce lien, un code JavaScript malveillant infectait l'ordinateur . Les utilisateurs de Twitter raccourcissent souvent les URL via bit .ly et autres services similaires, de manière à rester à l'intérieur du quota de 140 caractères imposés pour chaque contribution . Les pirates raccourcissent eux aussi les URL pour dissimuler la nature du site vers lequel vous vous dirigez . Bien que la plupart des URL sont légitimes, si un lien vous dirige vers une page vous demandant de saisir votre mot de passe Twitter ou Facebook, fermez-la immédiatement . Tout comme les escroqueries Facebook, les messages Twitter vous promettent des curiosités telle que la vidéo interdite de Lady Gaga, qui redirige les utilisateurs vers une fausse page YouTube . En cliquant sur le bouton lecture, une fenêtre s'ouvre et vous demande l'autorisation d'accéder à votre compte Twitter . En acceptant, vous permettez à des tiers de publier des messages en votre nom . Une autre escroquerie récente, TimeSpentHere, vous promet de vous révéler le nombre d'heures que vous avez passé sur Twitter . Vous pourriez être tenté de cliquer sur le lien, du fait qu'il semble vous parvenir

de la part de l'un de vos contacts . Mais cette application factice ne cherche qu'à obtenir votre adresse électronique, dans le but de s'en servir pour une campagne de phishing ou de spam .
LinkedIn : un niveau de menaces minime

Bien que la plupart des URL sont légitimes, si un lien vous dirige vers une page vous demandant de saisir votre mot de passe Twitter ou Facebook, fermez-la immédiatement .

Bien que les pirates ciblent le plus souvent les utilisateurs de Facebook et Twitter, le réseau social professionnel LinkedIn n'y échappe pas pour autant . La plus grande menace guettant LinkedIn est la fouille de données . Les cybercriminels recueillent des informations sur des entreprises et leurs employés, puis se servent de ces données pour lancer des attaques de spearphishing . Les auteurs de spearphishing peuvent obtenir encore plus d'informations en consultant les annuaires professionnels disponibles en ligne . Les invitations factices à LinkedIn sont elles aussi risquées . Ces liens peuvent vous rediriger vers une page Web qui installe une variante du malware Zbot, ou Zeus, sur votre ordinateur . En cliquant sur le lien, les pirates peuvent infecter votre ordinateur à distance et potentiellement détourner vos informations confidentielles .

D’après vous, quel réseau social pose le plus de risques en termes de sécurité ?

N = 1 699 Source : enquête Naked Security, Sophos
Quand Sophos a demandé à plus de 1 200 internautes quel réseau social était selon eux le plus dangereux, Facebook est arrivé en tête avec 82% des votes, une hausse considérable par rapport aux 60% des voies recueillies en 2010 .

18

Google Plus : les premiers utilisateurs exigent la confidentialité

Google Plus, le dernier-né des réseaux sociaux qui se propose de concurrencer Facebook, est toujours en phase d'apprentissage en matière de confidentialité . Ce denier est actuellement en période d'essai sur une échelle restreinte de manière à recueillir les commentaires de ses utilisateurs, corriger les failles et identifier les problèmes de confidentialité avant d'être déployé en masse . Les experts en sécurité estiment que Google Plus a été conçu pour que ses utilisateurs contrôlent mieux leur confidentialité en partageant leurs informations avec leur famille, collègues et amis . Suite aux premiers commentaires recueillis, Google Plus à changé ses options de confidentialité pour que ses utilisateurs ne soient pas obligés de révéler leur sexe sur le site .

Stratégies de protection pour les réseaux sociaux
Facebook possède sa propre page dédiée à la sécurité . Nous vous conseillons toutefois aussi de partager les conseils de Sophos sur les meilleures pratiques en matière de confidentialité sur Facebook avec le personnel de votre entreprise, et de mettre en place des programmes de sensibilisation et de formation . Vous pouvez rester informé(e) des menaces visant Facebook en temps réel en devenant membre de la page Sophos sur Facebook . Vous apprendrez comment nettoyer votre profil Facebook après un faux sondage dans une vidéo YouTube préparée par Sophos . Les utilisateurs de Twitter peuvent consulter son Safety Center et apprendre comment éviter le phishing en lisant le blog associé . Si vous rencontrez une application Twitter factice, vous pouvez révoquer ses droits en vous rendant sur la page Paramètres puis l'onglet Applications . Vous pouvez également prendre connaissance des actualités dans ce domaine en suivant @safety and @spam sur Twitter (en anglais) . Suivez @ SophosLabs pour des mises à jour fréquentes sur la protection de votre entreprise. Les utilisateurs de LinkedIn devraient régulièrement consulter son blog qui évoque les problèmes de sécurité tels que Comment se protéger contre le piratage et Conseils sur la sécurité et la confidentialité . Nous conseillons aux équipes informatiques et de communication des entreprises de travailler ensemble à l'élaboration et au déploiement d'une politique concernant l'usage des médias sociaux dans l'entreprise, qui indiquerait comment communiquer efficacement au moyen des réseaux sociaux, en toute sécurité . Et pour finir, n'oubliez pas de garder votre antivirus à jour, d'installer les derniers correctifs et si vous êtes à la recherche d'actualités, rendezvous sur des sites légitimes plutôt que de cliquer sur des liens qui vous sont envoyés par des contacts .

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

19

Comment les malwares parviennent jusqu'à nous

Le spam et le spearphishing par courriel : toujours présents
Une enquête comScore récente montre une baisse de 59 % dans l'usage de la messagerie électronique chez les 12-17 ans, et de 34 % chez les 25 à 34 ans . Beaucoup d'entre eux préfèrent désormais communiquer par Facebook, les SMS et Twitter .
Parallèlement à la baisse d'utilisation de la messagerie, les malwares contenus dans les pièces jointes sont aussi en déclin . Seulement 0,16 % des pièces jointes contenaient des malwares durant le premier semestre 2001, contre 0,27 % en 2010 . Les pirates utilisent par ailleurs plutôt des pièces jointes au format HTML plutôt que des fichiers exécutables de type .exe pour disséminer leurs malwares . La méthode d'attaque qui domine le monde de la messagerie aujourd'hui est le “spearphishing” qui, en utilisant des techniques d'ingénierie sociale, tente d'inciter ses victimes à révéler leurs données sensibles, telles que les identifiants de connexion et les mots de passe . Des pirates ont récemment utilisé cette technique pour attaquer Lockheed Martin, la plus grande entreprise de défense et de sécurité mondiale . Reconnu comme une cible de valeur dans le monde du cyber espionage et du piratage, Lockheed Martin dit enregistrer un million de tentatives d'intrusion dans son réseau par jour . Des experts ont suggéré que des cybercriminels avaient implanté un virus sur le réseau de Lockheed Martin grâce à un courriel de spearphishing envoyé à leurs employés . En piratant le réseau virtuel privé (VPN) de l'entreprise,ils ont été en mesure de détourner des informations
20

et des documentations volées dans le cadre du piratage du RSA en mars dernier . Bien que selon Lockheed Martin, aucun client, programme ni données personnelles concernant les employés n'aient été compromis, cette attaque prouve que la messagerie demeure un vecteur de menaces sérieuses . Le spam est toujours présent et reste lucratif malgré la réduction du nombre de courriels, et les améliorations apportées aux passerelles, au blocage d'URL et à la protection du Web . Les États-Unis demeurent en tête des pays transmetteurs de spam, ayant contribué à environ 13% du trafic mondial au cours du premier semestre 2011 . L'Inde, la Russie, la Corée du Nord et le Brésil ont dépassé les 6% durant la première moitié de l'année, leurs immenses cyber-populations manquant d'une protection efficace pour contrer le spam .

Principales familles de malwares dans les courriels infectés

Par ailleurs, les puissances économiques majeures telles que l'Italie, la France et le Royaume-Uni ont aussi occupé le top 10, prouvant que la richesse et l'avancement technologique ne garantissent en rien la sécurité . Sur le plan mondial, l'Asie a dépassé l'Europe de justesse au cours du 1er semestre 2011 passant de 33 % en 2010 à 40 %, tandis que l'Europe perdait quelques points avec 29 % . L'Amérique du Nord a conservé sa troisième place, enregistrant une légère baisse .

Dirty Dozen : Pays relayeurs de spam Janvier à juin 2011
États-Unis : 12,93 % Inde : 7,58 % Fédération russe : 6,62 % République de Corée : 6,62 % Brésil : 6,37 % Italie : 3,39 % Roumanie : 2,70 % Royaume-Uni : 2,69 %

Stratégies de protection pour le spam et le spearphishing par courriel
Un logiciel anti-spam est essentiel pour la capture du spam de type courant . Le spearphishing, en revanche, est beaucoup plus difficile à détecter . Tout d'abord, il est utile de limiter l'accès à ses informations personnelles sur les réseaux sociaux, etc . Et comme toujours, ne cliquez pas sur un lien si vous avez le moindre doute de son authenticité .

Taiwan : 2,34 % Indonésie : 2,33 %

Spam par continent - Janvier à juin 2011
Asie : 39,79 % Europe : 28,90 % Amérique du Nord : 16,30 % Amérique du Sud : 11,83 % Afrique : 2,50 % Océanie : 0,69 %

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

21

Comment les malwares parviennent jusqu'à nous

Logiciels : les vulnérabilités se multiplient
Les logiciels que nous employons tous les jours peuvent contenir du code instable ou des faiblesses permettant aux pirates d'implanter des malwares en s'infiltrant sur les machines et les réseaux . En raison de l'omniprésence de Microsoft Office et d'Internet Explorer, les produits Microsoft sont les plus ciblés par les pirates . Les autres logiciels courants tels qu'Adobe et Mac n'échappent pas pour autant aux attaques .
En juin, Microsoft a sorti l'un des ensembles de correctifs les plus importants de son histoire, dans lequel il corrigeait 32 vulnérabilités critiques, parmi lesquelles des failles dans les versions 6, 7 et 8 d'Internet Explorer qui permettaient l'exécution à distance . Le correctif pour 64 vulnérabilités sorti en avril dans 17 bulletins comprenait des corrections pour une faille dans les versions 6, 7 et 8 d'Internet Explorer découverte par des "pirates déontologiques" dans le cadre du concours PWN2OWN de cette année . Sophos a identifié le malware qui exploitait cette vulnérabilité : Troj/ExpJS-BV . Microsoft a tenté de convaincre ses utilisateurs de passer de la version 6 d'Internet Explorer à une version plus récente (la 9ème version étant la plus récente à ce jour) en mars, après avoir cessé de publier des correctifs pour la version 6, laissant par conséquent ses utilisateurs à la merci du piratage .

En juin, Microsoft a annoncé qu'Internet Explorer 6 ne comptait plus que 11 % d'utilisateurs, toutes versions confondues, et que son objectif était de réduire son utilisation à 1 % . Les ordinateurs Mac ont été menacés plusieurs fois en raison de failles logicielles présentes dans OS X . En juin, Apple a publié une mise à jour de sécurité pour combler les failles dans la plate-forme Java d'Oracle qui exposaient les utilisateurs au risque de téléchargement passif . Également en juin, Apple a sorti la dernière version de son système d'exploitation, OS X 10 .6 .8, corrigeant ainsi plusieurs failles permettant l'exécution arbitraire de code . La mise à jour servait également à identifier et à supprimer plusieurs variantes connues de la famille de faux antivirus Mac Defender . A ce jour, les pirates ont exploité une multitude de failles du jour zéro dans les logiciels Adobe tels que Flash, Reader et Acrobat . Du fait de son immense popularité, il serait possible d'exploiter d'autres applications qui intègrent du contenu Flash Player . En 2010, des escrocs ont exploité le logiciel d' Adobe Reader à grande échelle . En conséquence, Adobe a pris des mesures pour résoudre ce problème et publie plus régulièrement des correctifs . Adobe travaille aussi avec les éditeurs de sécurité dans le cadre du Microsoft Active Protections Program (MAPP) . Les membres du MAPP reçoivent des informations concernant les vulnérabilités en amont de la mise à jour de Microsoft, pour leur permettre d'élaborer des protections en avance .

22

Stratégies de protection pour logiciels
Les chercheurs dans le domaine de la sécurité identifient presque constamment des vulnérabilités dans les logiciels . Malheureusement, les éditeurs de logiciels doivent souvent rattraper les cybercriminels en matière d'attaques du jour zéro, qui sont effectivement des failles jusqu'alors inconnues . La fréquence de sortie des correctifs chez la plupart des éditeurs (le deuxième mardi du mois pour Microsoft), accentue l'importance de mettre à jour ses logiciels, d'installer les correctifs régulièrement et d'exécuter les programmes antivirus . Il semble également prudent de contrôler ce que vos utilisateurs installent au moyen d'une technologie de contrôle des applications de manière à réduire la portée des menaces . Moins on a de programmes et de plug-ins, moins le risque est élevé . Pour maîtriser les dernières vulnérabilités, passez en revue les sites spécialisés et rendez-vous sur la page SophosLabs Vulnerabilities Analysis .

Il semble également prudent de contrôler ce que vos utilisateurs installent au moyen d'une technologie de contrôle des applications de manière à réduire la portée des menaces . Moins on a de programmes et de plug-ins, moins le risque est élevé .

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

23

Comment les malwares parviennent jusqu'à nous

Médias amovibles : méfiez-vous de Windows Autorun
Les malwares modernes, tel que le ver Conficker, exploitent les médias amovibles tels que les clés USB, les CD et les DVD de manière à s'exécuter automatiquement dès leur insertion dans l'ordinateur . Nous avons toutefois des bonnes nouvelles .
Entre les mois de mars et de mai, le nombre d'ordinateurs ayant fait l'objet d'une infection par un malware exploitant la fonctionnalité Windows Autorun a chuté de 59 % sur les machines XP et de 74 % sur les ordinateurs Vista . Il apparaît que la décision de Microsoft, datant du début de l'année, de déployer une mise à jour empêchant Autorun sur les médias amovibles sans le consentement de l'utilisateur a été efficace .

Cependant, une étude menée par le ministère américain de la sécurité intérieure (DHS) a découvert que le plus grand risque attaché aux médias amovibles pourrait bien venir des erreurs de jugement des utlisateurs . Selon un rapport Bloomberg, l'étude du DHS a montré que les employés gouvernementaux étaient imprudents, en utilisant des clés USB et des CD ayant traîné dans les parkings et les bureaux sans en vérifier au préalable leur authenticité . Parmi ceux ayant ramassé ces médias amovibles, 60 % les ont connecté dans leur ordinateur professionnel, le chiffre atteignant 90 % lorsque le logo officiel était apposé sur le périphérique .

Réduction des infections par principales familles exploitant AutoRun - Janvier 2010 à juin 2011

24

Stratégies de protection pour médias amovibles
La première ligne de défense contre les menaces associées aux médias amovibles est la restriction et le contrôle . Il serait judicieux pour l'entreprise de restreindre l'usage de ces périphériques, en élaborant des politiques d'usage informant clairement les employés des circonstances d'utilisation acceptable . Par exemple, vous souhaitez peut-être interdire aux employés d'employer des périphériques provenant de leur domicile . Assurez-vous également de scanner les périphériques régulièrement à la recherche de malwares et de données sensibles . Vous devriez aussi mettre en place le chiffrement des fichiers contenus sur les médias amovibles .

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

25

La loi et l'ordre
Comment les gouvernements peuvent-ils nous protéger contre le cybercrime ? Devraient-ils être impliqués et mettre en place une loi sur la notification de fuites des données ? Poursuivent-ils assez assidûment les cybercriminels ? Certaines entreprises victimes de fuites de données telles que Sony et Citigroup, ont été critiquées pour avoir omis d'alerter leurs clients suffisamment tôt que des brèches importantes pourraient exposer leurs données . Mais une règlementation visant à guider les entreprises fait son apparition .

26

Législation: un travail en cours
Les États-Unis préparent actuellement l'ébauche d'une loi sur la fuite des données . La Chambre des Représentants exige que les entreprises victimes d'une fuite la signalent aux autorités sous 48h et commencent à notifier leurs clients dans les 48h suivant l'évaluation officielle du piratage . La loi pourrait changer pour donner un maximum de 60 jours pour la notification . Le projet de loi exigerait également que les entreprises suppriment les données personnelles dès leur obsolescence, leur évitant ainsi d'être disséminées à l'occasion d'une fuite . Le président américain, Barack Obama a aussi proposé une loi sur la divulgation plus raisonnable qui remplacerait les lois d'état existantes en uniformisant la définition des informations personnelles identifiables (PII) et en établissant de nouvelles règles concernant la notification .

Cybercrime : mesures prises par le gouvernement
Les agences gouvernementales livrent une guerre sans merci au cybercrime . Leur autorité est néanmoins limitée car les cybercriminels opèrent souvent sur plusieurs juridictions ou dans des pays étrangers . Par exemple, un escroc belge peut inciter un internaute australien à exécuter une transaction bancaire au Canada traitée par un serveur finlandais, au moyen d'une publicité factice provenant de Chine . La police a fait des avancées dans leur lutte contre les groupes d'hacktivistes LulzSec et Anonymous . Les autorités ont appréhendé des membres présumés d'Anonymous après une série de descentes effectuées en Turquie et en Espagne . De plus, le FBI a récemment annoncé qu'une opération contre deux cybergangs internationaux basés aux États-Unis avait été couronnée de succès . Surnommée " Trident Tribunal ", celle-ci a mené à plusieurs arrestations et a causé une perturbation considérable de leurs activités criminelles . Le premier gang était soit disant responsable de la vente de faux antivirus d'une valeur de 72 millions USD . Le deuxième fournissait des services de "malvertising", une technique qui permet l'insertion de publicités frauduleuses, notamment pour de faux antivirus, sur des sites respectables . Selon le FBI, une somme de 2 millions USD avait été détournée par seulement deux individus .

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

27

Comment garder une longueur d'avance sur les menaces
Toute entreprise devrait intégrer à sa stratégie de sécurité la sensibilisation et la formation des employés, ainsi que les outils technologiques permettant de bloquer l'intrusion des malwares et de protéger les données . Invitez les utilisateurs à réfléchir à la sécurité informatique en termes de leur expérience sur le terrain . Ceci encourage une réflexion critique, plutôt que d'appliquer des solutions théoriques à des problèmes donnés . Implémentez ensuite tous les outils nécessaires à la simplification du processus de protection de votre entreprise contre les menaces .

Formation et sensibilisation des utilisateurs : leçons tirées d'incidents réels
Voici quelques conseils de sécurité qui marchent également en ligne : • Si quelque chose semble trop beau pour être vrai, c'est surement le cas ! • N'acceptez pas les bonbons d'un inconnu. (car 99 .999 % des personnes auxquelles vous avez affaire sur Internet sont des inconnus .) • Tout comme votre boîte aux lettres, n'importe qui peut mettre n'importe quoi dans votre boîte de réception . Ce n'est pas parcequ'ils connaissent votre adresse que vous pouvez leur faire confiance . • Tout se paie. Quelqu'un quelque part paie, et c'est celui qui paie qui mène la barque, comme dans le cas des annonceurs sur Facebook .

28

Outils de protection : un guide pratique
Si l'information et la prise de conscience restent les meilleures manières de résister aux pirates et aux attaques de malwares, il existe cependant un éventail de technologies que vous pouvez utiliser pour préserver votre sécurité et protéger votre vie privée . Citons notamment : Logiciel antivirus pour Windows et Mac Un must pour la plupart des systèmes, il détecte, bloque et supprime le code malveillant, et devrait couvrir les rootkits, les scripts sur les pages Web, les tentatives d'exploit et autres activités frauduleuses ainsi que les menaces traditionnelles de type fichier . Les données locales de détection sont optimisées par des systèmes étendus de recherche en ligne pour se protéger efficacement contre les menaces les plus récentes . Utilisez les listes d'autorisation pour réduire les faux positifs . Filtrage du contenu et des malwares à la passerelle Surveille tout téléchargement de malwares au niveau de la passerelle . Ceci devrait bloquer les URL malveillantes, ainsi que les transferts de fichiers, encore une fois en utilisant les recherches in-the-cloud . Les solutions de filtrage de Web de qualité permettent l'application des politiques d'utilisation d'Internet mises en place par l'entreprise . Les systèmes d'administration et d'édition de rapports aideront les administrateurs de l'entreprise à surveiller les réseaux pour garantir la conformité aux politiques . Logiciel antispam Ce produit incontournable, surtout pour les entreprises, filtre la messagerie pour supprimer le spam, les attaques de phishing et les messages contenant des pièces jointes malveillantes et des liens vers des pages Web piratées . Ils doivent offrir une détection efficace tout en minimisant les fausses alertes . Ils devraient également offrir des fonctions de traçabilité et d'archivage pour assurer que les messages bloqués puissent être retrouvés en cas de problèmes .

Logiciel de chiffrement Essentiel dans tous les environnements professionnels travaillant avec des données sensibles de clients, et dans toutes les organisations où les données internes peuvent avoir une grande valeur ou être compromettantes si elles étaient perdues . Les données devraient être gardées sous forme chiffrée autant que possible, en particulier pendant leur transfert sur les systèmes portables ou périphériques amovibles . Les options de sécurité intégrées et de remplacement des administrateurs sont également utiles en cas d'oubli de mots de passe ou d'abus par des employés mal intentionnés . Correctifs et contrôle des vulnérabilités Installez les correctifs les plus récents pour maintenir vos logiciels à jour . Bien que certains logiciels sont dotés d'un système de mise à jour automatique, il est plus judicieux d'effectuer des tests en interne dans un environnement professionnel . Utilisez des solutions visant à coordonner et appliquer les politiques de correctifs sur l'ensemble d'un réseau, de même que des outils pour analyser les logiciels vulnérables et périmés . Contrôle des périphériques et du réseau Afin de préserver l'intégrité du réseau de l'entreprise, il convient de mettre en place un certain nombre de règles concernant la connexion des systèmes et des périphériques . Tenez les réseaux de l'entreprise à l'écart des sources potentielles d'infection et protégez les contre le détournement de données . Prévention contre la fuite des données Vous aide à contrôler le transfert de vos données sensibles afin de surveiller l'usage qu'en font les employés .

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

29

Pendant le premier semestre 2011, de nombreuses entreprises de haut niveau ont subi des attaques, perdant dans certains cas des informations sensibles et confidentielles . D'autres ont reçu des avertissements de la part des pirates, leur signalant que personne n'était à l'abri . Les utilisateurs de Mac ont été forcés de commencer à être vigilants, ce qui n'avait pas été le cas depuis l'introduction d'OS X . D'autres tendances présentent des risques pour les entreprises, telles que la fusion des vies personnelles et professionnelles des employés et le partage d'informations sur les réseaux sociaux . Continuez à consulter notre page Nouveautés et tendance pour prendre connaissance des nouvelles menaces à mesure de leur apparition . Une vigilance de tous les instants est primordiale, mais vous n'êtes pas seul ! Sophos a les moyens technologiques de vous aider à combattre les menaces à la sécurité . En les associant à des programmes de sensibilisation et de formation, la protection de vos données sera en bonne voie . Dans un environnement professionnel de plus en plus tendu, Sophos simplifie votre quotidien en vous aidant à combattre les malwares et à protéger vos données .

30

Sources (en anglais)

L .A . Times Nielsen Network World New York Times PC World Privacy Professor ReadWrite Mobile Reuters Socialbakers TechCrunch TechTarget TechWeb The Guardian Time: Techland Vanity Fair Wikipedia ZDNet

Sophos .com SophosLabs Sophos: Naked Security Associated Press Bloomberg News Business Insider Channelnomics Computerworld comScore: The 2010 Digital Year in Review comScore MobiLens CRN Fortune Forrester Research HeadlineBits .com Huffington Post Inc . InformationWeek

Rapport Sophos sur les menaces à la sécurité : 1er semestre 2011

31

Copyright 2011 . Sophos Ltd . Tous droits réservés . Sophos et Sophos Anti-Virus sont des marques déposées de Sophos Ltd .et Sophos Group . Tous les autres noms de produits et de sociétés mentionnés sont des marques ou des marques déposées appartenant à leurs propriétaires respectifs . Les données contenues dans ce rapport sur la sécurité sont à titre d'information uniquement . Elles sont fournies par Sophos, les SophosLabs et Naked Security . Nous nous efforçons de maintenir l'exactitude de ces informations au moment de leur publication, mais ne faisons aucune déclaration et ne donnons aucune garantie, quelle qu'elle soit, expresse ou implicite, quant à l'intégralité, l'exactitude, la fiabilité, la pertinence ou la disponibilité des sites Web ou des informations, produits, services ou graphiques associés contenus dans ce document . Toute confiance que vous accorderez à ces informations sont donc strictement à votre propre risque .
Équipe commerciale France Tél : 01 34 34 80 00 Courriel : info@sophos .fr

Boston, États-Unis | Oxford, Royaume-Uni © Copyright 2011 . Sophos Ltd . Tous droits réservés . Toutes les marques appartiennent à leurs propriétaires respectifs . Rapport n°7 .11v1 .dNA sur la Sécurité de Sophos .