Cybercriminalité : Java de plus en plus ciblé.
Et augmentation considérable de la sophistication des attaques en 2010, d'après Symantec.

Symantec a publié ce mois-ci la seizième édition de son rapport ISTR (Internet Security Threat Report) qui met en évidence les principales tendances en matière de cybercriminalité du 1er janvier au 31 décembre 2010.

En France, une moyenne de 1 197 botnets par jour a été référencée en 2010, infectant 142 812 ordinateurs. Le pays gagne 2 places par rapport à 2009 et se positionne à la 11ème place du classement mondial des activités malveillantes.

« Stuxnet et Hydraq, deux des attaques en ligne les plus visibles en 2010, ont représenté de vrais actes de cyber-guerre et ont radicalement transformé le paysage des menaces », déclare Stephen Trilling, vice-président senior, Symantec Security Technology and Response. « La nature des menaces est passée du ciblage de comptes bancaires personnels au ciblage des informations et de l'infrastructure physique des nations ». Ce qui ne signifient pas que les entreprises, y compris les PME (« un nombre surprenant de petites entreprises » souligne même l'éditeur), aient été épargnées par ces attaques ciblées très efficaces.

Le rapport de cette année montre donc augmentation considérable du niveau de sophistication des attaques.

Une sophistication qui passe également par l'ingénierie sociale : « Dans de nombreux cas, les cybercriminels ont recherché des victimes stratégiques au sein de chaque entreprise, puis ont utilisé des techniques d'attaque personnalisées, fondées sur l'ingénierie sociale, pour s'infiltrer dans les réseaux de ces victimes. En raison de leur caractère ciblé, bon nombre de ces attaques ont réussi, même si leurs victimes avaient des systèmes de sécurité de base en place ».

Autres enseignements, les réseaux sociaux se sont transformés en plates-formes de distribution d'attaques.

« L'utilisation d'URL raccourcies est l'une des principales techniques d'attaque utilisées sur ce type de sites. L'année dernière, des cybercriminels ont publié sur des réseaux sociaux des millions de liens raccourcis pour gagner la confiance d'internautes en vue de leur dérober des informations sensibles ou de les pousser à télécharger un logiciel malveillant, d'où une augmentation considérable du taux de réussite des tentatives d'infection. [...] Les fils d'actualités des sites de réseaux sociaux populaires sont largement utilisés pour la distribution massive d'attaques. Dans la plupart des cas, le cybercriminel usurpe l'identité d'un internaute en se connectant sur son compte et publie en guise de statut un lien vers un site malveillant. Le site de réseau social distribue alors automatiquement ce lien vers les fils d'actualités des amis de la victime, le diffusant ainsi à des centaines ou des milliers de victimes en quelques minutes ».

En 2010, les cybercriminels ont changé leur tactique et ciblent de plus en plus les failles de Java pour s'infiltrer dans les systèmes informatiques traditionnels. Les kits d'attaque ont de nouveau été largement utilisés. D'après Symantec, les failles du système Java ont représenté 17 % des failles affectant les plug-ins des navigateurs.

Le toolkit Phoenix, qui vise spécifiquement Java, serait à l'origine de la plupart des attaques en ligne en 2010.

Dernier point, les attaques vers les appareils mobiles sont en forte augmentation (+42%). En 2010, la plupart des attaques de programmes malveillants visant les appareils mobiles s'est présentée sous la forme de chevaux de Troie, se faisant passer pour des applications légitimes.

Bien que des cybercriminels aient créé de toutes pièces certains de ces programmes malveillants, dans de nombreux cas, ils ont infecté des utilisateurs en introduisant un programme malveillant dans des applications existantes légitimes. L'attaquant a ensuite distribué ces applications infectées par le biais de boutiques d'applications publiques. Par exemple, les auteurs du récent cheval de Troie Pjapps ont utilisé cette technique.

Parmi les chiffres intéressants (ou moins courants de ce rapport) on notera que les attaques en ligne ont augmenté de 93 %, que botnet Rustock comportait plus d'un million de spambots (un record), que 10 000 bots coûtent 15 $ et que le prix des données de carte de crédit varie de 0,07 $ à 100 $.