Source: F-Secure 2012
Selon l'éditeur de solutions anti-virales F-Secure, « La cyberguerre est aujourd’hui une réalité ». Pas réellement une information inédite mais il est intéressant de noter la prise de conscience de la plupart des éditeurs en cybersécurité qui désormais communiquent sur la cyberguerre auprès du grand public.
L'analyste de chez F-Secure Mikko Hyppönen considère que le "super-malware" Stuxnet (lire la note attypique numérique : http://www.attypique.com/interviews-posthumes/2011/06/e-reputation-comment-fonctionne-stuxnet-premi%C3%A8re-cyber-arme-employ%C3%A9e-en-2011-pour-menacer-une-usine-.html) a changé les règles du jeu. Le dernier « Rapport sur les Menaces » de F-Secure publié début septembre 2012 traite de l’évolution de la sécurité durant le premier trimestre 2012. Les particuliers sont toujours visés par des virus et des logiciels malveillants, les Mac sont désormais exposés, et les attaques utilisant les logiciels rançonneurs entament une courbe de croissance inquiétante.
Communiqué de presse: Le nouveau rapport de F-Secure présente le paysage de la sécurité en mettant l’accent sur le recul des attaques virales traditionnelles et des malwares au profit des attaques lancées par des états. Le rapport aborde les attaques au cœur de ce changement (Stuxnet et Flame), mais aussi les principales menaces qui ont visé les internautes au cours de la première moitié de l'année.
Vers une politique de sécurité contre les attaques cybernétiques
« Stuxnet et ses successeurs Flame et Gauss ont tout simplement changé la donne. Je pense que nous assistons aux premières étapes des nouvelles générations d’attaques cybernétiques », dit Mikko Hyppönen, Directeur de la Recherche chez F-Secure.
Le Lab F-Secure a estimé qu’il a fallu plus de 3650 jours-hommes pour développer Stuxnet. De telles affirmations indiquent que la cyberguerre est devenue une alternative « viable » aux méthodes politiques conventionnelles que sont la diplomatie et le boycottage.
« Les pays utilisent les logiciels malveillants pour attaquer leurs ennemis. La révolution cybernétique est en plein processus. Cela se passe maintenant, » commente Mikko Hyppönen.
Pas d’immunité pour les Mac
Cette première moitié de l’année confirme, une fois de plus, que les Macs ne sont pas épargnés par les attaques. En tête d’affiche, on note l’apparition de nouvelles variantes de Flashback qui se sert de la vulnérabilité de Java pour diffuser le malware depuis de sites infectés.
« La popularité des Macs dans les universités explique pourquoi elles ont été considérablement touchées. L’équipe de sécurité de l’Université d’Oxford a déclaré que Flashback était probablement la plus grande épidémie depuis l’attaque de Windows en 2003 par Blaster », explique Sean Sullivan, Security Advisor chez F-Secure.
Les « Banking Trojans »*, les menaces sur Android et autres attaques
Parmi les menaces, Zeus, dans ses nombreuses variantes, reste une préoccupation majeure. Ce cheval de Troie, qui capture les frappes sur le clavier ainsi que les remplissages de formulaires, a été particulièrement actif dans certaines régions des Etats-Unis. De nouvelles versions de SpyEye ont également fait leur apparition ; celui-ci vide en toute discrétion, un compte bancaire dès lors qu’on y accède par internet.
Les logiciels demandeurs de rançon (« Ransomware ») se sont propagés régulièrement durant les six derniers mois. Son fonctionnement est simple : il prétexte le blocage de l’ordinateur par la « police » (ou la gendarmerie, Hadopi, la Sacem…) faisant suite à une activité internet illégale. Pour débloquer l’ordinateur, le logiciel malveillant réclame le l règlement d’« amendes », à affranchir avec des cartes prépayées, ou d’autres moyens intraçables.
Quand aux attaques de smartphones, la plupart visent le système d’exploitation Android. Les menaces les plus répandues sont les logiciels indésirables (comme Steware.A et DroidRooter.F), ainsi que les logiciels espions (comme Abdoo.A). Une simple visite sur un site infecté peut contaminer un téléphone, ou une tablette.
« Il a été démontré, jusqu’à présent, qu’il n’y avait pas de ralentissement des attaques des virus et des logiciels malveillants. La meilleure protection reste la mise à jour des antivirus de vos appareils ».
Pour en savoir plus, Le Rapport de sur les Menaces pour le premier semestre 2012 et le Rapport sur les Menaces Mobile du deuxième trimestre 2012 sont tous deux téléchargeables sur le site F-Secure : http://www.f-secure.com/en/web/labs_global.
* Chevaux de Troie conçus pour capturer les identifiants bancaires
EXPERTISE MARCHE:
S'achemine t-on vers une escalade dans le domaine des cyber-conflits avec les cyber-armes de dernière génération ? Flame officiellement "dévoilé" au grand public lundi 28 mai 2012 se caractérise par deux points dans la "découverte" de cyber-armes: les Etats sont visés comme victimes mais aussi et c'est nouveau ... comme concepteurs de ces cyber-armes.
« On peut oublier l’idée d’éventuels contrats avec les États-Unis pour les cinq prochaines années » E. Kaspersky 4 juin 2012 (source: http://bit.ly/M4AQdi)
Autre aspect plus technique: la complexité de Flame est telle qu'il sait s'adapter intelligemment a son environnement et opérer en "cyber-bande" tout en effaçant ses traces. Reste que ce malware est davantage une compilation de techniques connues, déjà recensées qu' un cyber-prototype comme l'a été Stuxnet en 2010 voire d'autres malwares avant: le botnet Zeus, le ver Conficker...
Proche de Stuxnet (apparu officiellement en 2010, lire ci dessous) Flame, dernier venu officiel parmi les cyber-armes, sait opérer discrètement en brouillant ses propres traces sur divers environnements informatiques. Il appartient à la catégorie des malwares de cyber-espionnage comme Stuxnet et Duqu.
Que fait-il ? un programme fourre tout caméléon et communicant
« Flame » opére des captures d'écran, des enregistrements via un micro de PC par exemple des conversations audio, ou encore déclenche une fonction "d'écoute" via la connexion Bluetooth des équipements (devices) qu'il découvre sur le site "cyber-squatté". Bref il s'adapte a son environnement. Rien de nouveau, ces techniques sont connues depuis des années. En revanche, elles n'avaient jamais été rassemblées en un seul et même code qui constitue une cyber-arme universelle. Mais pour quelle cible ?
Flame, c'est un cyber-missile "caméléon" ce qui le rend encore plus redoutable. N'oublions pas que son "grand-frère" Stuxnet "Installé" discrétement dans le système ciblé sait "découvrir" son environnement et ouvrir des ports secrètement afin de demander a des programmes complices hébergés sur des serveurs externes d'envoyer toutes les informations et codes complémentaires pour s'interfacer avec les machines qu'il espionne. Le cyber-missile opère en cyber-bande. et sur des vulnérabilités connues. Microsoft le reconnait: http://blogs.technet.com/b/msrc/archive/2012/06/03/microsoft-releases-security-advisory-2718704.aspx
(suite sur: http://bit.ly/LSpN65 )
jpbichard@gmail.com
Jean-Philippe Bichard RC Attypique Numérique
BONUS:
http://www.ted.com/talks/lang/fre_fr/mikko_hypponen_fighting_viruses_defending_the_net.html
http://www.youtube.com/watch?v=ZCNTnrGk7fs
http://www.f-secure.com/static/doc/labs_global/Research/Mobile%20Threat%20Report%20Q2%202012.pdf
http://www.symantec.com/connect/blogs/madi-attacks-series-social-engineering-campaigns
