25 juil. 2007
Sophos, un des leaders mondiaux de la sécurité et du contrôle des réseaux, présente les conclusions de son étude sur l’activité du cybercrime dans le monde au cours du premier semestre 2007. Parmi ses principales conclusions, ce rapport met en lumière une forte hausse des menaces issues du Web, ainsi que les principaux pays et types de serveurs hébergeant des sites infectés.
Le premier semestre 2007 a connu une explosion des menaces diffusées via le Web, qui est désormais devenu le vecteur d’attaque préféré des cybercriminels animés par des motivations financières. Le réseau mondial de stations de surveillance de Sophos a en effet identifié au cours du seul mois de juin une moyenne de 29 700 pages Web infectées par jour, alors que ce nombre n’était que de 5 000 au début de l’année.
Des pages bloquées passées au microscope
Sophos bloque l’accès à des millions de pages Web pour protéger les utilisateurs contre les programmes malveillants et les contenus inappropriés. En se basant sur un échantillon d’un million de ces pages, les experts de la société ont déterminé que 28,8 % d’entre elles hébergent du malware et que 28,0 % sont bloquées à cause de leur contenu pornographique ou de jeux d’argent.
Aperçu de millions de pages web bloquées par Sophos triées par catégorie.
19,4 % sont des pages créées par des spammeurs et 4,3 % sont classées comme sites illégaux, lorsqu’elles sont par exemple identifiées comme sites de phishing ou de vente de logiciels piratés. Parmi les sites contenant du code malveillant, un sur cinq seulement a été conçu spécifiquement dans ce but, tous les autres étant des pages légitimes infectées par les pirates.
Les serveurs Apache sont les plus compromis
Les cybercriminels peuvent rapidement et facilement contaminer un grand nombre de pages Web à partir d’un unique fichier infecté partagé par de multiples sites, sans rapport les uns avec les autres mais tous hébergés par le même serveur Web.
Le classement des principaux types de serveurs affectés par les menaces Web au cours du premier semestre 2007 est le suivant :
Les principaux logiciels serveur web hébergeant des malwares.
Le fait que plus de la moitié du total des pages Web infectées dans le monde soient hébergées sur des serveurs Apache démontre que ce type d’infection n’est pas uniquement un problème affectant Microsoft. Il y a quelques mois, lors d’une attaque mondiale de type ObfJS, visant des sites légitimes pour leur faire diffuser du code malveillant, 98 % des serveurs affectés utilisaient Apache, dont un grand nombre sur des platesformes UNIX plutôt que Windows.
« Avec 80 % des pages Web infectées découvertes sur des sites légitimes, on peut se demander pourquoi les hébergeurs Web ne prennent pas tous les mesures nécessaires pour protéger efficacement leurs serveurs », commente Michel Lanaspèze, Directeur Marketing et Communication de Sophos France et Europe du Sud. « De simples précautions, comme avoir correctifs de sécurité à jour, contribueraient pourtant à limiter considérablement le problème. L’utilisation d’Apache sur un serveur Web ne met pas à l’abri des pirates qui cherchent à implanter des programmes malveillants sur les sites. »
Les principales menaces issues du Web en 2007
Pour le premier semestre 2007, le classement des dix principales menaces issues du Web et hébergées par des sites infectés est le suivant :
Agrandir l'image du tableau cidessus.
Mal/Iframe, qui agit en injectant du code malveillant dans les pages Web, domine largement ce classement avec près de la moitié des URL infectées dans le monde. Il ne montre d’ailleurs aucun signe d’affaiblissement : lors d’une récente attaque, plus de 10 000 pages ont été atteintes, dont une grande majorité de sites légitimes hébergés par un des plus importants FAI d’Italie.
« Mal/Iframe est un cas d’école de la manière dont une attaque propagée via le Web peut viser et exploiter des sites vulnérables aux contenus les plus divers », poursuit Michel Lanaspèze. « Les solutions de sécurisation du Web doivent aller audelà du blocage des sites en fonction de leur catégorie. Un site de jeux d’argent peut sembler constituer une menace plus importante, mais ce sont parfois les pages plus innocentes qui représentent le plus grand danger. »
La Chine héberge le plus grand nombre de pages infectées
Le classement des dix principaux pays hébergeant des pages Web infectées au cours du premier semestre 2007 est le suivant :
Agrandir l'image du tableau cidessus.
La Chine qui hébergeait à la fin de 2006 un peu plus du tiers des programmes malveillants, a désormais dépassé les EtatsUnis. Au cours des six premiers mois de 2007, le pays a été responsable de plus de la moitié de l’ensemble des menaces Web répertoriées par Sophos. Cette progression spectaculaire dans le classement est due avant tout à une large diffusion de Mal/Iframe sur les pages Web chinoises : plus de 80 % des pages Web compromises en Chine sont infectées par ce programme.
Les pirates se tournent vers les clés USB et les fichiers PDF
Le premier semestre 2007 a connu une résurgence de la diffusion de logiciels malveillants via les périphériques de lectureécriture externes : il ne s’agit plus des disquettes du début des années 1990, mais des clés USB. Par ce moyen, les pirates peuvent profiter de la fonction « autorun » que certains utilisateurs activent sur leur PC Windows pour faire s’exécuter automatiquement un programme dès que la clé est insérée. Le ver LiarVBA, qui diffuse des informations sur le Sida et le VIH via les clés USB, est un bon exemple.
« Les clés USB inquiètent de plus en plus les entreprises : elles sont produites en masse, peu coûteuses, et constituent donc pour le marketing un article de choix à offrir à aux clients », déclare Michel Lanaspèze. « Il convient donc d’être prudent lorsqu’on insère une clé inconnue sur son ordinateur, même si elle est neuve. »
Autre tactique employée par les cybercriminels en 2007 : l’utilisation de fichiers joints à des messages de spam. Afin d’éviter la détection par les solutions de filtrage les moins performantes, les spammeurs utilisent désormais fréquemment des fichiers PDF contenant une version graphique de leurs messages commerciaux, dans l’espoir d’attirer de nouveaux clients.
Les courriels demeurent une source d’inquiétude
Les menaces diffusées par courrier électronique continuent à préoccuper les entreprises. Bien qu’elles soient aujourd’hui éclipsées par les attaques via le Web, leur nombre moyen est resté constant depuis un an. La proportion de courriels infectés au cours du premier semestre 2007 est de un sur 337, soit 0,29 % de l’ensemble des messages échangés. Plus de 8 000 nouvelles versions de Mal/HckPk ont ainsi été détectées en 2007, utilisées pour camoufler des attaques massives par courriels telles que Dref et Dorf.
De nombreuses informations complémentaires sur les dernières tendances en matière de malware, de spyware et de spam sont disponibles dans le dernier Rapport sur le Sécurité de Sophos. Une version spécifiquement destinée aux journalistes est également disponible à l’adresse :
Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos pour leur procurer la meilleure protection contre les menaces complexes et la perte de données. Régulièrement primées, ses solutions intégrées de sécurisation et de protection des informations sont simples à déployer, à administrer et à utiliser, et offrent le coût global de possession le plus avantageux du marché. Elles permettent le chiffrement des données, la protection des systèmes d’extrémité, la sécurisation du Web et de la messagerie et le contrôle d’accès réseau, avec le support permanent des SophosLabs, le réseau mondial de centres d'analyse des menaces de Sophos. Avec une expérience de plus de vingt ans, Sophos est considéré par les firmes d'analystes reconnues comme l'unes des figures de proue du marché en matière de sécurité et de protection de données et s'est vue décerner de nombreuses récompenses.
Les sièges sociaux de Sophos se trouvent à Boston, États-Unis et à Oxford, Royaume-Uni. Pour en savoir plus, visitez notre site www.sophos.fr.