Spams, virus, et codes malveillants : une étude d’IronPort dégage les tendances 2007 et établit des prévisions pour 2008
IronPort Systems, division de Cisco et leader dans le domaine de la protection des entreprises contre le spam, les virus et le spyware, annonce la disponibilité de son rapport 2008 sur les tendances en matière de sécurité sur Internet. L’étude, réalisée par IronPort, met en lumière les tendances clés observées dans le domaine de la sécurité au cours de l’année 2007, et propose des moyens de défense contre la nouvelle génération de cyber-menaces élaborées à venir.
L’heure n’est plus à l’amateurisme
« 2007 marque un tournant. Alors que la conception de codes malveillants semblait avoir atteint un palier, de nouvelles techniques d’attaques complexes ont fait irruption. Ces techniques ne sont manifestement pas le fait de novices : elles ne peuvent être que le résultat de travaux poussés de R&D », explique Sébastien Commérot, Responsable Marketing Europe du Sud, Afrique et Moyen-Orient chez IronPort. « Les contrôles de sécurité destinés à endiguer les codes malveillants se sont montrés efficaces pendant un temps. Cependant, cela a eu pour résultat d’obliger les pirates à être plus créatifs, et du coup en 2007 la plupart des menaces ont gagné en discrétion et en sophistication. »
L’information, nouvelle monnaie d’échange mondiale
– Les attaques de spam, de virus ou d’autres codes malveillants coûtent cher
En effet, un utilisateur passe en moyenne 5 à 10 minutes par jour à gérer des courriels indésirables. On estime ainsi à 13,5 milliards d’euros les coûts résultants en termes de nettoyage et de perte de productivité à travers le monde.
– Encore plus coûteuses, les pertes de données
Produites par malveillance ou par inadvertance, les pertes de données peuvent porter préjudice non seulement à l’image de marque d’une entreprise, à sa valeur en Bourse mais aussi à sa réputation.
– Les communications électroniques et les données en transit, principales causes de fuites dans les entreprises
IronPort estime ainsi à 60 millions le nombre d’individus dont des données ont été divulguées au cours des 13 derniers mois.
– Les solutions existantes de sécurisation des réseaux (pare-feu ou autres) n’incorporent pas de fonctions préventives destinées à protéger les données en transit
En effet, des mesures essentielles de contrôle, telles que l’analyse des contenus, le filtrage des communications contenant des informations sensibles ou encore le chiffrement, sont absentes.
– Jusqu’à 60% des données des entreprises résident sur des ordinateurs de bureau ou portables non protégés
– 48% des entreprises n’ont mis aucune politique en place pour informer leurs clients en cas de risque pesant sur leurs informations confidentielles
A l’horizon : le « social malware »
Les derniers codes malveillants en date empruntent les caractéristiques des réseaux sociaux et des sites collaboratifs liés au Web 2.0 : ils sont collaboratifs, adaptifs, peer-to-peer et intelligents.
Ils échappent ainsi aux radars, dormant sur les ordinateurs des entreprises ou des particuliers pendant des mois, voire des années.
Furtives, élaborées et de plus en plus ciblées, les nouvelles variantes de chevaux de Troie et autres codes malveillants seront donc de plus en plus problématiques à détecter.
Dans un contexte où la préservation de l’intégrité des informations sensibles des entreprises est croissante (résultats financiers, projets relatifs à de nouveaux produits, numéros de carte de crédit), les équipes de sécurité informatique doivent prendre des dispositions pour :
– mesurer le trafic malveillant sur leur réseau,
– déployer un système complet de défense associant des techniques avancées telles que la détection des menaces véhiculées par le réseau et le contrôle d’accès réseau.
Autres observations et statistiques
– Le volume de spam a augmenté de 100% pour dépasser 120 milliards de messages par jour. Cela représente environ 20 messages spam quotidiens par habitant de la planète.
Les mesures effectuées par IronPort montrent également que les utilisateurs au sein d’une entreprise reçoivent entre une centaine et un millier de spams chaque jour.
– Le spam porte moins sur la vente de produits que sur le développement de réseaux de zombies
Auparavant le spam avait comme objectif principal la vente de produits (pharmaceutiques, prêts à faibles taux, valeurs boursières, etc.). Aujourd’hui, 83% des messages renferment un nombre croissant de liens pointant vers des sites Web qui diffusent des codes malveillants, ces derniers ayant pour but d’étendre la taille et la portée du réseau de zombies à l’origine du spam. Le spam est donc de moins en moins utilisé pour vendre, mais plutôt pour démultiplier des attaques.
– Les auteurs de codes malveillants combinent les technologies e-mail et Web pour propager leurs attaques
En 2007, le TOC (Centre opérationnel d’identification des menaces) d’IronPort a constaté une augmentation de 253% du spam « infecté » (c’est-à-dire contenant des liens vers des sites réputés malveillants).
– Les virus sont moins visibles, mais toujours plus nombreux
Leurs auteurs s’écartent des précédentes attaques massives, du type Netsky ou Bagel. En 2007, les virus sont plus souvent polymorphes et généralement associés à la prolifération de réseaux d’ordinateurs zombies très sophistiqués. Par exemple, en une seule semaine, le TOC IronPort a détecté plus de six variantes du virus Feebs, dont chacune s’est propagée de façon exponentielle
– La durée de vie d’une technique d’attaque donnée a nettement diminué
Au cours des années précédentes, les spammeurs ont employé durant un laps de temps relativement long une nouvelle technique typique, comme par exemple l’utilisation d’images pendant des mois en 2006 et début 2007. Les techniques d’attaques plus récentes, comme le spam MP3, n’ont duré que trois jours ; ces attaques de moindre envergure sont cependant de plus en plus fréquentes, et surtout emploient une méthode différente à chaque fois.
Alors qu’en 2006 le spam image était la principale nouvelle technique employée, 2007 a vu l’utilisation de plus de 20 types différents de pièces jointes dans diverses attaques éclair.
Le rapport intégral est consultable en anglais sur http://www.ironport.com/securitytrends/