L'évolution du paysage des programmes malveillants et des...
Transcript of L'évolution du paysage des programmes malveillants et des...
L'évolution du paysage des
programmes malveillants et
des menaces (analyse portant
sur une période de 10 ans)
Rapport sur les données de sécurité Microsoft : édition spéciale
Février 2012
ii
RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT : ÉDITION SPÉCIALE
Ce document est fourni à titre informatif uniquement. MICROSOFT N'APPORTE AUCUNE GARANTIE,
EXPRESSE, IMPLICITE OU LÉGALE, QUANT AUX INFORMATIONS REPRISES DANS CE DOCUMENT.
Ce document est fourni « en l'état ». Les informations et les avis qu'il contient, y compris les URL
et autres références à des sites Web Internet, pourront faire l'objet de modifications sans préavis.
Vous assumez tous les risques liés à son utilisation.
Copyright © 2012 Microsoft Corporation. Tous droits réservés.
Les noms de produits et de sociétés réels mentionnés dans ce document sont des marques
de leurs propriétaires respectifs.
Auteurs et collaborateurs
BILL BARLOWE – Centre de réponse aux problèmes de sécurité Microsoft
JOE BLACKBIRD – Centre de protection Microsoft contre les programmes malveillants
WEIJUAN SHI DAVIS – Windows Product Management Consumer
JOE FAULHABER – Centre de protection Microsoft contre les programmes malveillants
HEATHER GOUDEY – Centre de protection Microsoft contre les programmes malveillants
PAUL HENRY – Wadeware LLC
JEFF JONES – Microsoft Trustworthy Computing
JIMMY KUO – Centre de protection Microsoft contre les programmes malveillants
MARC LAURICELLA – Microsoft Trustworthy Computing
KEN MALCOMSON – Microsoft Trustworthy Computing
NAM NG – Microsoft Trustworthy Computing
HILDA LARINA RAGRAGIO – Centre de protection Microsoft contre les programmes malveillants
TIM RAINS – Microsoft Trustworthy Computing
ELIZABETH SCOTT – Centre de réponse aux problèmes de sécurité Microsoft
JASMINE SESSO – Centre de protection Microsoft contre les programmes malveillants
JOANNA SHARPE – Microsoft Trustworthy Computing
FRANK SIMORJAY – Microsoft Trustworthy Computing
HOLLY STEWART – Centre de protection Microsoft contre les programmes malveillants
STEVE WACKER – Wadeware LLC
En mémoire de TAREQ SAADE
iii
iii
Sommaire Avant-propos ....................................................................................................................... v
Champ d'application ........................................................................................................ v
Période de référence ....................................................................................................... v
Conventions ..................................................................................................................... v
Introduction ........................................................................................................................ 1
Informatique à usage personnel en 2002 et de nos jours .................................................. 2
Informatique à usage personnel ..................................................................................... 2
Informatique mobile ....................................................................................................... 2
Services en ligne (prédécesseurs du Cloud Computing) ................................................. 3
Origines des programmes malveillants .............................................................................. 4
Initiative Microsoft Trustworthy Computing (environnement informatique fiable) ......... 6
2002-2003 ....................................................................................................................... 7
2004 ................................................................................................................................ 8
La criminalisation des programmes malveillants ........................................................... 8
2005 ................................................................................................................................ 8
Vulnérabilités .................................................................................................................... 11
Une décennie de maturation ........................................................................................ 11
Divulgations de vulnérabilités sur tout le secteur ........................................................ 12
Niveau de gravité des vulnérabilités ............................................................................. 14
Divulgations matérielles et logicielles .......................................................................... 15
Divulgations de vulnérabilités concernant les systèmes d'exploitation ....................... 17
Divulgations de vulnérabilités concernant les applications ......................................... 17
Exploitation des tendances et des bulletins de sécurité .................................................. 18
L'état des logiciels malveillants aujourd'hui ..................................................................... 22
Tendances des programmes malveillants et potentiellement indésirables ..................... 24
Évolution des menaces au fil du temps ........................................................................ 24
Menaces différentes à des moments différents ........................................................... 28
iv
Catégories de menace par localisation ............................................................................. 32
Données de sécurité 2011 ............................................................................................ 32
Leçons à tirer des pays/régions les moins infectés ...................................................... 35
Windows Update et Microsoft Update ............................................................................. 37
Conclusion ......................................................................................................................... 39
Annexe A : Technologies de protection informatique et restrictions .............................. 40
Annexe B : Familles de menaces mentionnées dans ce rapport ...................................... 41
v
v
Avant-propos
Champ d'application
Le Rapport sur les données de sécurité de Microsoft (Microsoft Security Intelligence Report, SIR)
s'intéresse aux vulnérabilités et attaques logicielles, aux menaces de code malveillant et aux
programmes malveillants potentiellement indésirables. Les rapports précédents, ainsi que les
ressources associées, peuvent être téléchargés à l'adresse suivante www.microsoft.com/sir.
Nous espérons que vous trouverez dans cette édition spéciale du Rapport sur les données
de sécurité toutes les données, toutes les informations et tous les conseils qui vous aideront
à protéger votre organisation, vos applications, ainsi que leurs utilisateurs.
Période de référence
Cette édition spéciale du Rapport sur les données de sécurité présente des informations
condensées des 10 dernières années. Dans la mesure du possible, ce rapport intègre des données
conjoncturelles couvrant la totalité de la période de 10 ans. Par ailleurs, des données portant sur
des périodes plus courtes sont également reprises dans ce rapport. En règle générale, du fait que
les divulgations de vulnérabilités soient très inégales d'un trimestre à l'autre, et étant donné que
celles-ci se produisent souvent de manière disproportionnée à certaines périodes de l'année, les
statistiques les concernant sont présentées sur une base semestrielle, comme cela a été le cas
dans les derniers volumes du Rapport sur les données de sécurité.
Dans ce rapport, les périodes semestrielles et trimestrielles sont référencées suivant le
format nSaa ou nTaa, où aa représente l'année civile et n désigne le semestre ou le trimestre.
Par exemple, 1S11 représente le 1er semestre 2011 (du 1er janvier au 30 juin) et 2T11 désigne
le 2e trimestre 2011 (du 1er avril au 30 juin). Pour éviter tout risque de confusion, faites attention
à la période de référence des statistiques mentionnées dans ce rapport.
Conventions
Ce rapport utilise la convention d'affectation de nom du Centre de protection Microsoft
contre les programmes malveillants pour les familles de programmes malveillants et de logiciels
potentiellement indésirables, ainsi que pour leurs variantes. Pour plus d'informations sur cette
convention, reportez-vous à la page Microsoft Malware Protection Center Naming Standards
(Normes de nomination du centre de protection contre les programmes malveillants) sur le site
Web du Centre de protection Microsoft contre les programmes malveillants.
Introduction
Internet ayant connu un essor au cours des 10 dernières années, les programmes (ou logiciels)
malveillants ont évolué et gagné en complexité. Les premiers types de programmes malveillants
cherchaient à générer des attaques lourdes de conséquences. Ils se montrent désormais de plus en
plus pernicieux et s'orientent vers le vol et d'autres activités illicites. Les organisations s'inquiètent
davantage des risques posés par les programmes malveillants. Avant 2002, la connectivité Internet
restait l'exception à la règle pour nombre d'entre elles. Elle a rapidement rejoint les sujets
d'inquiétude à l'aube du 21e siècle.
Outre les ordinateurs et les réseaux des organisations, peu importe leur taille, la
connectivité Internet concerne désormais également d'autres appareils, tels que des consoles
de jeux et les smartphones. Étant donné l'évolutivité des modèles informatiques, il est vraiment
devenu difficile de protéger les organisations, les gouvernements et les citoyens contre les
programmes malveillants.
L'initiative Trustworthy Computing de Microsoft pour un environnement informatique fiable,
créée en 2002, est à l'origine de la publication du Rapport sur les données de sécurité Microsoft
visant à aider les clients et toute autre partie intéressée à se tenir informés de l'évolution du
paysage des menaces. Le Rapport sur les données de sécurité Microsoft fournit des données
complètes sur les menaces dans le monde entier.
2
Informatique à usage personnel en 2002 et de nos jours
Malgré l'émergence des programmes malveillants et d'autres menaces importantes, les utilisateurs
d'ordinateurs ont continué à profiter des avantages issus de l'innovation technologique au cours
des 10 dernières années. Cette section dresse le bilan comparatif de la situation du secteur
informatique en 2002 et en 2012 dans les trois domaines suivants : l'informatique à usage
personnel, l'informatique mobile et les services en ligne (prédécesseurs du Cloud Computing).
Informatique à usage personnel
Jusqu'en 2002, les processeurs des ordinateurs utilisaient une architecture à cœur unique ;
leur vitesse de traitement venait juste de dépasser le seuil des 2 GHz. 64 Mo de mémoire
RAM étaient nécessaires sous Windows XP, commercialisé fin 2001, mais il était préférable
de disposer de 128 Mo ; la configuration la plus courante étant de 512 Mo. La taille des
disques durs atteignait les 120 Go, et les écrans LCD étaient de plus en plus prisés. La
connectivité USB pour les périphériques était répandue, mais la spécification USB 2.0, la plus
rapide à ce jour, venait seulement d'être établie, et n'était donc pas disponible à l'époque.
En ce début d'année 2012, les processeurs multicœur sont monnaie courante, la vitesse
dépasse les 4 GHz, soit une fréquence nettement plus élevée qu'en 2002. 1 Go de mémoire
RAM, de préférence 2 Go, est nécessaire sous Windows 7, commercialisé en 2009. Les disques
durs affichent généralement une capacité de 600 Go, soit cinq fois plus qu'en 2002, pour
atteindre 1 To, voire davantage. Vous pouvez acheter un écran 23 pouces pour moins de 200 $
aux États-Unis, et les écrans LED, dont la technologie est plus avancée que les écrans LCD, sont
de plus en plus présents sur le marché. La technologie de connectivité USB 3.0 fait son apparition,
mais la spécification USB 2.0 reste la plus répandue.
Informatique mobile
En 2002, les processeurs d'ordinateurs portables les plus rapides dépassaient à peine la barre
des 1 GHz. La configuration courante était de 512 Mo de mémoire RAM et d'un disque dur
d'une capacité comprise entre de 20 Go et 30 Go. Les portables étaient généralement équipés
d'un lecteur de CD-ROM et très rarement d'un lecteur combinant DVD et CD-RW. Des progrès
restaient à réaliser en matière de qualité sonore et d'écrans HD (haute-définition), et les
Smartphones n'ont fait leur entrée qu'en 2005.
3
3
En 2012, les processeurs des ordinateurs portables sont trois fois plus rapides qu'en 2002,
et il est courant de rencontres des fréquences d'horloge de 3 GHz, ou plus. La mémoire vive
est généralement affiche également entre 2 Go et 4 Go ; soit un volume de 4 à 8 fois supérieur
à 2002. Les ordinateurs portables haut de gamme ont quant à eux une mémoire vive de 8 Go.
Les disques durs standard offrent une capacité comprise entre 500 et 600 Go, soit un volume
environ 25 fois supérieur à ceux de 2002, sans parler des nouveaux disques durs SSD qui sont
beaucoup plus rapides. Les écrans HD avec webcam intégrée et technologie de reconnaissance
faciale (pour ne plus entrer de mot de passe) sont désormais commercialisés. Les lecteurs standard
peuvent lire les DVD/RW, et nombre d'entre eux prennent en charge la technologie Blu-ray haute
résolution pour la lecture vidéo. En revanche, ces accessoires ne sont pas présents sur certains
modèles d'ordinateurs portables, lesquels mettent en avant finesse et légèreté. Les options audio
de haute qualité sont également de plus en plus courantes.
Les normes en matière de vitesse de transmission des données Ethernet n'ont fait qu'évoluer.
La technologie Gigabit Ethernet, qui prend en charge un taux de transmission de données de
1 000 Mbit/s (mégabits par seconde), s'est développée au cours des dix dernières années. L'IEEE
(Institute of Electrical and Electronics Engineers) vient même de certifier la norme 10 Gigabit
Ethernet. Ces normes ne concernent toutefois que les connexions en cuivre, par câble (coaxial)
et en fibre optique. Par ailleurs, la connectivité réseau sans fil, qui s'adapte à l'explosion actuelle
des appareils mobiles, s'est répandue entre 2002 et 2012. En 2012, les ordinateurs de bureau et
les ordinateurs portables proposent généralement des options de connectivité filaire et sans fil.
Services en ligne (prédécesseurs du Cloud Computing)
Dès 2002, les utilisateurs ont pu bénéficier de divers services de paiement en ligne. Ces services
ont permis aux sites de commerce sur Internet (commerce électronique), tels qu'Amazon.com
et eBay de se développer (les deux sites ont démarré leurs activités en 1995). La popularité du
commerce électronique a connu une progression fulgurante entre 2002 et 2012.
Un phénomène de taille s'est produit au cours de ces dix années, lequel a eu un
impact considérable au niveau du secteur de la culture et du divertissement populaire, La
musique et les vidéos, disponibles désormais sous la forme de fichiers informatiques numérisés,
pouvaient être partagés sur Internet. Napster, sans doute le service de partage de fichiers le plus
connu, a vu le jour en 1999 et a cessé ses activités en juillet 2001. Néanmoins, d'autres modèles
de partage de fichiers ont fait leur apparition et sont devenus populaires.
L'essor d'Internet et la disponibilité croissance de la connectivité haut débit sont également
à l'origine de services en ligne, tels que Rhapsody, le premier service d'abonnement mensuel
de musique à la demande en continu, lancé en décembre 2001.
4
Bien que le concept de Cloud Computing existe déjà depuis un certain temps, les premiers
services de Cloud Computing n'ont été commercialisés qu’en 2002. Depuis lors, des options
plus flexibles ont été proposées. Le Cloud Computing est alors devenu plus attractif et abordable
pour les petites et grandes organisations, ainsi que pour les particuliers. À l'heure actuelle, les
architectures de Cloud Computing intègrent le modèle IaaS (Infrastructure as a Service), qui
propose des composants, tels que les réseaux et du stockage, le modèle PaaS (Platform as a
Service), qui propose une plateforme, telle qu'une base de données ou un serveur Web pour
l'exécution d'applications, et le modèle SaaS (Software as a Service), qui propose une application
ou une solution logicielle en tant que service fini ou complet.
En 2012, presque tout le monde s'accorde à penser que le Cloud Computing devrait devenir
le nouvel épicentre en informatique. Cette technologie est de plus en plus prise en charge par
un grand nombre d'organisations, et les modèles de Cloud Computing ne cessent d'évoluer.
Origines des programmes malveillants
De nombreux utilisateurs d'ordinateurs ont découvert les programmes malveillants
suite à des infections généralisées par Melissa (en 1999) et LoveLetter (en 2000). Ces deux
attaques se sont propagées par le biais de la messagerie électronique, et par une pièce jointe
infectée dans le cas de LoveLetter. Une fois la pièce jointe ouverte, le programme malveillant
écrasait plusieurs types différents de fichiers sur l'ordinateur de l'utilisateur, puis il se propageait
lui-même par courrier électronique aux contacts du carnet d'adresse de la victime.
Rapidement, LoveLetter est devenu à cette époque l'incident le plus coûteux de sa catégorie.
Malgré les dommages causés par Melissa et LoveLetter, il ne fait aucun doute que ces menaces
ont eu trois effets positifs : grâce à eux, les programmes malveillants ont été surveillés de plus
près, les utilisateurs ont pris conscience de leur existence (via la pression des autres utilisateurs,
destinataires de ces messages) et ont souligné l'importance des sauvegardes (LoveLetter a en
effet écrasé des fichiers qui, par absence de sauvegarde, ont été perdus).
Une menace liée aux programmes malveillants plus sournoise et directe s'est hissée au premier
plan en 2001 : des programmes malveillants pouvant se propager sans intervention humaine.
L'un de ces types de programmes malveillants est un ver, connu sous le nom Code Red ; il est
apparu sur Internet en juillet 2001 et il s'attaquait à des serveurs IIS (Microsoft Internet Information
Services). Même si des vers avaient déjà été détectés depuis 1988, Code Red était considéré par les
chercheurs du Centre de protection Microsoft contre les programmes malveillants comme étant le
parfait exemple du ver, car il ne contenait aucun composant fichier. Code Red devait être détecté
en transit ou dans la mémoire d'un ordinateur infecté. À l'époque, les logiciels anti-programme
malveillant de bureautique traditionnels, qui recherchaient des logiciels malveillants basés sur
des fichiers, ne pouvaient pas le détecter.
5
5
Code Red s'est propagé via le port TCP 80, le même canal couramment utilisé pour les requêtes
sur le Web. Les serveurs Web devaient donc être sécurisés contre de telles attaques. Toutefois,
d'autres ordinateurs doivent accéder au port 80 pour des fonctionnalités liées au navigateur Web.
Code Red n'a probablement pas causé autant de dommages que LoveLetter, même s'il est difficile
d'en être certain, du fait que certains ordinateurs infectés par Code Red ont été ensuite infectés
par Win32/Nimda, qui s'est également propagé via le port TCP 80.
Win32/Nimda était ce que certains appellent un cocktail de programmes malveillants, ou
menace combinée, qui a marqué le début d'une tendance en terme de développement de logiciels
malveillants qui subsiste aujourd'hui. Il employait au moins cinq vecteurs d'attaque différents, y
compris l'utilisation de portes dérobées laissées ouvertes par un programme malveillant précédent.
Il a suivi ce programme malveillant de tellement près que son développement a dû être très
rapide. Par conséquent, l'opinion générale était que Win32/Nimda a été développé par une
équipe, et pas simplement par un développeur de programmes malveillants isolé.
Qui que soit son créateur, Win32/Nimda a démontré que si les ordinateurs en réseau ne sont pas
protégés, ils peuvent être détournés et utilisés contre leur propriétaire en quelques heures, voire
en quelques minutes. Des centaines de milliers d'ordinateurs ont été victimes de Win32/Nimda,
nombre d'entre eux exploitaient des sites Web bien connus et des serveurs de messagerie pour
des moyennes et grandes sociétés. Au total, plus de 50 000 sites Internet importants ont été
infectés. En outre, il n'est pas passé inaperçu que Win32/Nimda avait été diffusé le 18 septembre,
soit seulement une semaine après les attaques terroristes du 11 septembre 2001 ; ce qui a inquiété
les spécialistes en matière de sécurité.
Par ailleurs, 2001 a été le théâtre de l'émergence des programmes malveillants dans les messages
électroniques qui paraissaient inoffensifs. Ces logiciels malveillants provenaient de messages sans
code ni fichier joint ; ils se servaient d'URL. Ces messages utilisaient des tactiques d'ingénierie sociale
pour inciter les utilisateurs à cliquer sur les URL ; ils étaient alors connectés à des sites Web
programmés contenant des failles permettant des actions non souhaitées sur les PC des utilisateurs.
2001 a également été l'année de naissance de Win32/Sircam. Il s'agit du premier programme
malveillant répandu pouvant exfiltrer des informations des ordinateurs, bien que personne n'ait
su s'il s'agissait de son objectif. Cependant, l'itinéraire privé du Président ukrainien a été publié
publiquement contre toute attente suite à une infection par Win32/Sircam.
6
Initiative Microsoft Trustworthy Computing (environnement informatique fiable)
Le 15 janvier 2002, le président du conseil d'administration de Microsoft, Bill Gates, a envoyé
un mémo à tous les employés à temps plein de Microsoft et de ses filiales. Il y proposait de
changer radicalement l'approche de la société et de s'occuper d'un élément central de
l'entreprise, un concept appelé Trustworthy Computing, environnement informatique fiable.
L'initiative Trustworthy Computing représente l'engagement de Microsoft à offrir une expérience
informatique plus sûre, privée et fiable, basée sur des pratiques commerciales saines. La plupart
des données publiées par Microsoft Trustworthy Computing dans le Rapport sur les données de
sécurité Microsoft proviennent de trois centres de sécurité, le Centre de protection Microsoft
contre les programmes malveillants, le Centre de réponse aux problèmes de sécurité Microsoft
(MSRC) et le Microsoft Security Engineering Center (MSEC), qui fournissent des données précises
sur les menaces, proposent des mesures à adopter face aux menaces et une certaine approche en
termes de sécurité. D'autres informations sont également proposées par des groupes de produits
Microsoft et par Microsoft IT (MSIT), le groupe qui gère les services informatiques mondiaux pour
Microsoft. Le Rapport sur les données de sécurité vise à décrire au mieux le paysage des menaces
aux clients et partenaires Microsoft, ainsi qu'aux employés du secteur des logiciels, pour les aider
à se protéger eux-mêmes et leurs actifs contre toute activité criminelle.
7
7
La figure suivante montre les actions importantes et les événements clés qui ont eu lieu au cours
des cinq premières années de l'existence de Microsoft Trustworthy Computing, ainsi que certains
événements marquants liés aux programmes malveillants.
Figure 1. Événements marquants et événements clés dans le paysage des menaces de 2002 à 2006
2002-2003
L'ère des logiciels malveillants propagés en masse par courrier électronique, qui a débuté avec
Melissa et LoveLetter, s'est prolongée jusqu'en 2002-2003, et a entraîné l'augmentation
significative du volume de courrier indésirable, qui utilisait en majorité des macros et la
fonctionnalité de création de script de Microsoft Visual Basic. La plupart de ces programmes
malveillants ont été déjoués par les fonctions de sécurité de la version Microsoft Office XP de
Microsoft Excel et de la version Office 2003 de Microsoft Word, lorsque ces programmes ont
adopté le format XML pour leurs fichiers de données.
En 2003, Microsoft a lancé son processus mensuel régulier d'envoi de mises à jour de sécurité, qui
a toujours lieu aujourd'hui. Microsoft a lancé ce programme pour fournir des mises à jour en
temps opportun à ses clients sur une base régulière. Certaines mises à jour sont liées à la sécurité,
mais pas toutes. Les mises à jour de sécurité sont fournies chaque deuxième mardi du mois ; les
mises à jour facultatives et celles ne concernant pas la sécurité sont quant à elles proposées
chaque quatrième mardi du mois.
8
2004
Microsoft a commercialisé Windows XP Service Pack 2 (SP2) en 2004 ; il contenait des mises à jour
de sécurité et des améliorations considérables. SP2 est le fruit d'efforts considérables déployés par
les développeurs et experts en sécurité Microsoft. Il s'agissait là peut-être de la meilleure indication
de la part de Microsoft, laquelle prouvait que la société se préoccupait du problème croissant des
programmes malveillants au sein de la connectivité mondiale d'Internet. SP2 représente une
avancée significative et une étape clé de la démarche de Microsoft et des autres intervenants du
secteur visant à protéger les utilisateurs de leur technologie face aux criminels.
En 2004, le premier programme malveillant à but lucratif a fait son apparition. La famille de vers
propagée en masse par courrier électronique Win32/Mydoom a créé l'un des premiers exemples
d'un botnet, un ensemble d'ordinateurs contrôlés secrètement et de manière illicite par un pirate,
qui demande à ces ordinateurs d'effectuer des activités, telles qu'envoyer du courrier indésirable,
héberger des pages utilisées pour le hameçonnage, voler des mots de passe ou des informations
sensibles et de propager d'autres logiciels malveillants.
La criminalisation des programmes malveillants
Une majorité des premiers programmes malveillants étaient subversifs et coûteux en termes de
frais de nettoyage et de perte de productivité, mais la plupart ont été créés comme des canulars
ou pour élever le statut du développeur au sein de la communauté des pirates informatiques en
ligne. Avec l'arrivée de Win32/Mydoom en 2004, il est devenu évident que les développeurs de
logiciels malveillants ont saisi les opportunités offertes par les programmes malveillants en matière
de vol, de chantage et d'autres activités criminelles lucratives.
2005
En 2005, le ver Win32/Zotob s'est propagé, mais pas autant qu'on ne l'avait tout d'abord pensé. Il
visait à limiter les paramètres de sécurité dans Windows Internet Explorer et à entraver sa
fonctionnalité de blocage des fenêtres publicitaires pour afficher les publicités de sites Web qui
payaient les pirates en fonction des clics obtenus. Il s'agit là d'un autre exemple de programme
malveillant recherchant les profits.
Fin 2005, le cheval de Troie Win32/Zlob a commencé à se propager. Il affichait des fenêtres
publicitaires qui mettaient les utilisateurs en garde contre un logiciel espion et les encourageaient
à acheter un faux logiciel anti-espion, qui les redirigeait en fait vers d'autres sites et causaient
d'autres problèmes. Win32/Zlob a également prouvé que les développeurs farceurs laissent place
aux criminels encouragés par les profits potentiels. (Pour plus d'informations sur Win32/Zlob,
reportez-vous à la section « Évolution des menaces au fil du temps » plus loin dans ce rapport.)
9
9
Avant 2005, Microsoft diffusait des mises à jour de sécurité pour répondre à des formes spécifiques
de programmes malveillants. À titre d'exemple, le bulletin de sécurité Microsoft MS02-039, qui
visait le programme malveillant connu sous le nom de Slammer, a été lancé en juillet 2002. En
janvier 2005, Microsoft a commercialisé la première version de l'outil de suppression des
programmes malveillants, qui supprime les programmes malveillants spécifiques répandus des
ordinateurs exécutant une version récente de Windows. Microsoft met à la disposition des
utilisateurs d'ordinateurs une nouvelle version de l'outil de suppression des logiciels malveillants
chaque mois, à télécharger automatiquement via Windows Update/Microsoft Update. Elle est
ensuite exécutée une fois pour rechercher des infections par programmes malveillants et pour
supprimer celles-ci.
La disponibilité constante et automatique de l'outil de suppression des programmes malveillants
aide à préserver un écosystème informatique plus propre. Par exemple, au premier semestre 2011,
l'outil de suppression des logiciels malveillants a été exécuté sur plus de 600 millions d'ordinateurs
dans le monde tous les mois. En revanche, cet outil ne remplace pas un produit anti-programme
malveillant préventif ; il ne s'agit que d'un outil de suppression à utiliser une fois l'ordinateur
infecté. Microsoft recommande vivement d'utiliser un produit anti-programme malveillant
préventif à jour.
Les cybercriminels organisés et avancés d'un point de vue technique ayant commencé à tirer parti
des technologies utilisateurs , le Centre de protection Microsoft contre les programmes
malveillants a été créé en 2005. Il s’est vu doté d’une double mission : aider à protéger les clients
Microsoft des menaces émergeantes et existantes, et proposer une recherche antivirale de portée
mondiale ainsi qu’une forte capacité de réponse en matière de protection contre les programmes
malveillants afin de prendre en charge les produits et services de sécurité Microsoft.
Plus récemment, Microsoft a créé l'unité en charge de lutter contre les délits numériques de
Microsoft (Microsoft Digital Crimes Unit, DCU), composée d'avocats, d'enquêteurs, d'analystes
techniques et d'autres spécialistes du monde entier. Sa mission est de rendre Internet plus sûr en
mettant en place des solutions renforcées, des partenariats mondiaux, des stratégies et des
solutions techniques contribuant à assurer une défense contre les fraudes et autres menaces au
niveau de la sécurité en ligne mais également de protéger les enfants de cette cybercriminalité.
La figure suivante montre certains événements clés qui ont eu lieu au cours de ces cinq dernières
années d'existence de Microsoft Trustworthy Computing, ainsi que certains événements marquants
liés aux programmes malveillants.
10
Figure 2. Événements marquants et événements clés dans le paysage des menaces de 2007 à 2011
Outre la création du Centre de protection Microsoft contre les programmes malveillants et
de l'unité DCU, Microsoft s'est employé à favoriser une plus grande collaboration entre les acteurs
du secteur et à partager son retour d’expérience pour toute initiative d’implémentation de
sécurité. Le consortium ICASI (Industry Consortium for Advancement of Security on the Internet)
en est un exemple. Il a été cofondé par Microsoft en juin 2008 avec Intel Corporation, IBM, Cisco
Systems et Juniper Networks. Depuis sa création, Amazon.com et Nokia en sont également
devenus membres.
ICASI encourage la collaboration entre des sociétés internationales dans le but de s'occuper de
menaces complexes en termes de sécurité et de mieux protéger les infrastructures informatiques
critiques pour des organisations, des gouvernements et des citoyens du monde entier.
11
11
Vulnérabilités
Les vulnérabilités sont définies comme les points faibles d'un logiciel permettant à une personne
mal intentionnée de compromettre l'intégrité, la disponibilité ou la confidentialité de ce logiciel
ou des données qu'il traite. Dans le pire des cas, elle peut aller jusqu'à permettre aux personnes
mal intentionnées d'exploiter un système compromis et ainsi d’exécuter du code arbitraire sans
que l'utilisateur le sache.
Ces 10 dernières années représentent une période très intéressante en matière d'évaluation des
divulgations de vulnérabilités et des changements associés qui continuent à affecter la gestion
des risques dans les organisations informatiques du monde entier. Avant d'examiner les schémas
et les tendances, voici une brève analyse de la dernière décennie en ce qui concerne les
vulnérabilités du secteur.
Une décennie de maturation
En 2002, MITRE1 a publié un rapport (A Progress Report on the CVE Initiative (PDF)), dans
lequel il a présenté une mise à jour basée sur un effort pluriannuel de création d'un ensemble
d'informations sur les vulnérabilités cohérent et commun, en mettant plus particulièrement
l'accent sur la convention d'affectation de nom unique, afin de faciliter l'accès, la gestion et
la résolution des vulnérabilités et des expositions au secteur. Les données et l'effort CVE ont
permis de former par la suite le noyau du NIST (National Institute of Standards and Technology)
NVD (National Vulnerability Database), le référentiel gouvernemental américain des données de
gestion des vulnérabilités basées sur les normes qui joue le rôle d'indice principal de vulnérabilité
pour les vulnérabilités référencées dans le Rapport sur les données de sécurité Microsoft.
2002 a également marqué l'avènement d'un marché commercial des vulnérabilités. iDefense
a lancé un programme de contribution centré sur les vulnérabilités, lequel payait ceux qui
donnaient des informations sur les vulnérabilités.
En 2003, le NIAC (National Infrastructure Advisory Council) aux États-Unis a commissionné
un projet « visant à proposer un système d'évaluation des vulnérabilités ouvert et universel afin
de s'occuper de ces lacunes et de les résoudre, et dont l'objectif ultime était de promouvoir une
compréhension commune des vulnérabilités et de leur impact ». Ce projet a abouti à un rapport
recommandant l'adoption du système d'évaluation standardisé des vulnérabilités (PDF) (CVSSv1)
fin 2004. L'obtention d'informations sur le niveau de gravité (ou l'évaluation) des vulnérabilités
a constitué une grande avancée, car cela a permis d'offrir une méthode standardisée d'évaluation
des vulnérabilités dans le secteur sans favoriser de fournisseur.
1 MITRE est une société sans but lucratif qui œuvre dans l'intérêt public en proposant ses services d'assistance technico-commerciale, de recherche et développement et de support informatique au gouvernement des États-Unis.
12
En 2007, le CVSS a été mis à jour pour répondre à des problèmes identifiés par l'application pratique
du CVSS depuis sa création. Le Rapport sur les données de sécurité Microsoft volume 4, qui présente
des données et des analyses relatives au second semestre 2007, incluait les tendances de vulnérabilités
utilisant les deux systèmes CVSSv1 et CVSSv2. Depuis lors, on utilise l'évaluation CVSSv2. À l'époque,
on avait remarqué un impact d'ordre pratique au niveau des nouvelles formules d'évaluation. En effet,
un pourcentage plus élevé de vulnérabilités avait reçu le niveau de gravité Élevé ou Moyen.
Divulgations de vulnérabilités sur tout le secteur
Une divulgation, telle qu'utilisée dans le Rapport sur les données de sécurité Microsoft, est
la révélation d'une vulnérabilité logicielle au grand public. Elle ne se rapporte à aucun type
de divulgation privée ni à aucun type de divulgation à un nombre limité de personnes. Les
divulgations peuvent venir de diverses sources, notamment des fournisseurs de logiciels, des
fournisseurs de logiciels de sécurité, des chercheurs en sécurité indépendants et même des
développeurs de logiciels malveillants.
La plupart des informations de cette section ont été compilées à partir des données de
divulgation des vulnérabilités publiées dans la NVD. Elles représentent l'ensemble des
divulgations qui disposent d'un numéro CVE (Common Vulnerabilities and Exposures).
Au cours des dix dernières années, une augmentation disproportionnée des nouvelles divulgations
de vulnérabilités a été constatée ; celles-ci ont atteint leur niveau maximum en 2006 et 2007, puis
ont constamment diminué les quatre années suivantes, pour à peine dépasser les 4 000 unités en
2011, ce qui représente encore un grand nombre de vulnérabilités.
13
13
Figure 3. Divulgations de vulnérabilités sur tout le secteur depuis 2002
Tendances des divulgations de vulnérabilités :
Les divulgations de vulnérabilités dans tout le secteur en 2011 ont baissé de 11,8 %
par rapport à 2010.
Cette baisse laisse présager une tendance à la baisse modérée. Les divulgations
de vulnérabilités ont baissé de 37 % au total depuis le pic de 2006.
14
Niveau de gravité des vulnérabilités
Le système d'évaluation standardisé des vulnérabilités (CVSS) est un système d'évaluation
standardisé, indépendant de la plateforme permettant d'évaluer les vulnérabilités informatiques.
Le CVSS attribue une valeur numérique, comprise entre 0 et 10, aux vulnérabilités en fonction
de leur niveau de gravité ; le résultat le plus élevé représentant le niveau de gravité le plus élevé.
(Reportez-vous à la page relative au niveau de gravité des vulnérabilités sur le site Web Rapport
sur les données de sécurité pour plus d'informations.)
Figure 4. Gravité relative des vulnérabilités divulguées depuis 2002
Tendances des niveaux de gravité des vulnérabilités :
La tendance globale du niveau de gravité des vulnérabilités a été positive. Les vulnérabilités
d'un niveau de gravité moyen et élevé n'ont cessé de diminuer depuis leur pic en 2006 et 2007.
De moins en moins de vulnérabilités étant globalement divulguées, le nombre de
vulnérabilités divulguées dont le niveau de gravité est bas n'a pas beaucoup évolué.
Les vulnérabilités dont le niveau de gravité est bas représentent environ 8 % de toutes
les vulnérabilités divulguées en 2011.
15
15
Divulgations matérielles et logicielles
La NVD guette tant les vulnérabilités matérielles que logicielles. Le nombre de vulnérabilités
matérielles divulguées chaque année reste bas, comme illustré ci-dessous. Le nombre le plus
élevé était de 198 (3,4 %) vulnérabilités matérielles divulguées en 2009.
Figure 5. Divulgations de vulnérabilités matérielles et logicielles depuis 2002
Les vulnérabilités logicielles touchent les systèmes d'exploitation, les applications, ou les
deux. À l'instar de nombreux autres secteurs, le produit d'un fournisseur peut être le composant
d'un autre fournisseur. Par exemple, CVE-2011-1089 concerne GNU libc 2.3, qui est repris comme
produit d'application de GNU. Toutefois, libc est également un composant intégré dans plusieurs
systèmes d'exploitation et représente par conséquent également une vulnérabilité de système
d'exploitation. Il est donc difficile de différencier clairement les vulnérabilités qui concernent
les systèmes d'exploitation de celles qui concernent les applications. Dans la figure suivante, les
vulnérabilités qui s'appliquent tant aux systèmes d'exploitation qu'aux applications sont en rouge.
16
Figure 6. Divulgations de vulnérabilités s'appliquant aux systèmes d'exploitation et aux applications depuis 2002
En 2010 et en 2011, environ 13 % des vulnérabilités logicielles touchaient à la fois les systèmes
d'exploitation et les applications.
17
17
Divulgations de vulnérabilités concernant les systèmes d'exploitation
Pour déterminer le nombre de vulnérabilités qui concernent les systèmes d'exploitation (voir figure
suivante), celles-ci ont été filtrées en fonction des produits affectés désignés en tant que systèmes
d'exploitation dans la NVD.
Figure 7. Divulgations de vulnérabilités concernant les systèmes d'exploitation depuis 2002
Divulgations de vulnérabilités concernant les applications
Pour déterminer le nombre de vulnérabilités touchant les applications (voir la figure suivante), les
vulnérabilités ont été filtrées en fonction des produits touchés désignés en tant qu'applications
dans la NVD.
18
Figure 8. Divulgations de vulnérabilités concernant les applications depuis 2002
Exploitation des tendances et des bulletins de sécurité
Le Microsoft Security Engineering Center (MSEC) est l'un des trois centres de sécurité qui
permettent de protéger les clients contre les programmes malveillants. Le MSEC essaie de
trouver des moyens fondamentaux de développer des produits et services plus sûrs du point
de vue du génie logiciel, en déployant des efforts tels que la méthodologie Security Development
Lifecycle (SDL) de Microsoft et la science de la sécurité.
Le Centre de réponse aux problèmes de sécurité Microsoft (MSRC) identifie, surveille, résout et
réagit aux vulnérabilités de sécurité logicielle de Microsoft. Le MSRC publie des bulletins de
sécurité chaque mois pour s'attaquer aux vulnérabilités propres aux logiciels Microsoft. Ces
bulletins sont numérotés selon un ordre précis pour chaque année civile. Par exemple, « MS11-
057 » se rapporte au 57e bulletin de sécurité publié en 2011.
Les bulletins de sécurité sont généralement publiés le deuxième mardi de chaque mois, mais il
arrive exceptionnellement que Microsoft publie une mise à jour de sécurité « hors bande » pour
répondre à un problème urgent. Microsoft a publié une telle mise à jour en 2011.
19
19
La figure suivante indique le nombre de bulletins de sécurité et de mise à jour hors bande
publiées depuis 2005, date à laquelle Microsoft a publié la première version de l'outil de
suppression des programmes malveillants.
Figure 9. Bulletins de sécurité du MSRC publiés depuis 2005
Période Bulletins de sécurité Mises à jour hors bande
1S05
33
0
2S05
22
0
1S06
32
1
2S06
46
1
1S07
35
1
2S07
34
0
1S08
36
0
2S08
42
2
1S09
27
0
2S09
47
1
1S10
41
2
2S10
65
1
1S11
52
0
2S11
48
1
Un seul bulletin de sécurité concerne souvent plusieurs vulnérabilités émanant de la base
de données CVE, chacune d'elle étant reprise dans le bulletin en plus de l'ensemble des autres
problèmes pertinents. L'illustration suivante indique le nombre de bulletins de sécurité publiés,
ainsi que le nombre de vulnérabilités identifiées par la CVE qu'ils ont abordés chaque semestre
depuis le 1er semestre 2005. (Toutes les vulnérabilités ne sont pas abordées au cours de la
période de leur divulgation initiale.)
20
Figure 10. Nombre de bulletins de sécurité du MSRC et de vulnérabilités identifiées par la CVE et abordées
En 2011, le MSRC a publié 100 bulletins de sécurité qui concernaient 236 vulnérabilités
identifiées par la CVE, ce qui représente une diminution de 7 % et de 6 %, respectivement,
par rapport à 2010. Comme le montre la figure suivante, le nombre moyen de vulnérabilités
identifiées par la CVE abordées par chaque bulletin de sécurité a augmenté d'année en année,
de 1,5 au 1er semestre 2005 à 2,4 au 2e semestre 2011.
21
21
Figure 11. Nombre moyen de vulnérabilités identifiées par la CVE par bulletin de sécurité du MSRC
Lorsque cela est possible, le MSRC combine plusieurs vulnérabilités qui touchent un
même composant ou un même élément binaire pour les aborder dans un même bulletin
de sécurité. Cette approche renforce l'efficacité de chaque mise à jour et limite toute
interruption potentielle subie par les clients en testant et en intégrant les différentes mises
à jour de sécurité à leur environnement informatique.
22
L'état des logiciels malveillants aujourd'hui
Fin 2001, environ 60 000 formes de logiciels malveillants ou menaces avaient été recensées.
Ce nombre représentait une augmentation significative par rapport à 1996 (environ 10 000)
et à 1991 (environ 1 000).
Figure 12. Évolution approximative des logiciels malveillants depuis 1991
Ces dix dernières années, la prolifération des programmes malveillants s'est muée en
histoire de cybercriminalité. De nos jours, on estime à plusieurs milliards le nombre de
menaces informatiques connues, telles que les virus, les vers, les chevaux de Troie, les failles,
les portes dérobées, les voleurs de mots de passe, les logiciels espions et d'autres variantes
de logiciels potentiellement indésirables.
Depuis lors, les développeurs de programmes malveillants criminels ont commencé
à utiliser le polymorphisme client et serveur (capacité qu'ont les programmes malveillants
à créer de manière dynamique différentes formes d'eux-mêmes pour contrecarrer les solutions
anti-programme malveillant). Il est alors devenu de plus en plus difficile de répondre à la question
« Combien de variantes des menaces existe-t-il ? » Le polymorphisme implique qu'il peut exister
autant de variantes que les ordinateurs infectés peuvent en produire ; en d'autres termes, ce
nombre dépend de la capacité des programmes malveillants à générer de nouvelles variantes
d'eux-mêmes.
23
23
Il est désormais plus judicieux de détecter puis d'éliminer la source des variantes que de compter
leur nombre. En 2011, plus de 49 000 familles de menaces uniques différentes ont été signalées
au Centre de protection Microsoft contre les programmes malveillants par des clients. Un grand
nombre de ces familles étaient des doublons, versions polymorphes des principales familles de
menaces. Leur détection et leur élimination des ordinateurs infectés est toujours d'actualité.
En 2011, Microsoft a ajouté plus de 22 000 signatures pour détecter les principales familles
de menaces. Étant donné que les développeurs de programmes malveillants criminels créent
davantage de menaces, la taille des fichiers de signature anti-programme malveillant types
augmente ; ces fichiers dépassent aujourd'hui les 100 Mo. En 2002, la taille des fichiers de
signature anti-programme malveillant types étaient inférieure à 1 Mo.
Le nombre de fichiers soumis à des organisations anti-programme malveillant a également
augmenté. La figure suivante montre dans quelle mesure le nombre de fichiers soumis, suspectés
de contenir des logiciels malveillants ou potentiellement indésirables au Centre de protection
Microsoft contre les programmes malveillants, a augmenté depuis 2005, ce qui représente une
augmentation de plus de 200 %. (Les fichiers suspectés d'être malveillants peuvent être soumis
au Centre de protection Microsoft contre les programmes malveillants, page Submit a sample
(Envoyer un échantillon).)
Figure 13. Augmentation en pourcentage du nombre de fichiers soumis au Centre de protection Microsoft contre
les programmes malveillants depuis 2005
24
Tendances des programmes malveillants et potentiellement indésirables
Les programmes malveillants ne cessent d'évoluer, et les fluctuations en ce qui concerne la
détection des différentes formes de programmes malveillants reflètent parfois les victoires
à des moments donnés remportées par des personnes travaillant dans le secteur des logiciels
sur les développeurs de programmes malveillants.
Évolution des menaces au fil du temps
Lorsqu'on les observe sur plusieurs années, certaines familles de logiciels potentiellement
indésirables et malveillants ont tendance à culminer, ou à devenir plutôt répandues, pendant
de courtes périodes, car les fournisseurs de produits anti-programme malveillant centrent leurs
efforts sur la détection et la suppression de ces menaces. Ces périodes de pics sont suivies par
des périodes de baisse, car les personnes mal intentionnées changent leur tactique. La figure
suivante illustre ce phénomène. (Pour les figures 14 à 18, l'axe des ordonnées représente le
pourcentage de tous les ordinateurs infectés par des programmes malveillants.)
Figure 14. Familles de programmes malveillants et potentiellement indésirables ayant atteint leur niveau
maximum puis une diminution depuis 2006
25
25
Win32/Rbot était l'une des premières familles de botnet à être connue en 2004 et en 2005
après plusieurs épidémies hautement visibles qui ont notamment touché les réseaux des médias
et gouvernementaux. Rbot est une famille de « kit d'attaque » : Les variantes de Rbot sont créées
à partir d'un kit de création de botnet open source appelé RxBot, qui est largement disponible chez
les opérateurs de programmes malveillants. Par ailleurs, de nombreux groupes différents ont généré
leurs propres variantes avec des fonctionnalités différentes. L'outil de suppression des programmes
malveillants a été mis à jour pour détecter Rbot en avril 2005, et le nombre de détections a nettement
diminué en 2006, pour représenter moins de 2 % des ordinateurs à partir du 2e semestre 2008.
La famille des chevaux de Troie Win32/Zlob a été retrouvée sur pratiquement 25 % des
ordinateurs infectés par un programme malveillant au 1er semestre 2008, soit un niveau de
prévalence jamais atteint par aucune autre famille. Zlob était généralement diffusé sur des pages
Web, se faisant passer pour un codec multimédia que les visiteurs devaient installer pour regarder
du contenu vidéo téléchargé ou diffusé en continu sur Internet. Une fois installé sur un ordinateur
cible, Zlob affiche en continu des fenêtres contextuelles publicitaires pour un faux logiciel de
sécurité. Une variante de Zlob détectée fin 2008 incluait un message codé, apparemment écrit
par le développeur de Zlob et à l'intention des chercheurs du Centre de protection Microsoft
contre les programmes malveillants, indiquant que le développeur mettrait fin au développement
et à la distribution du cheval de Troie :
For Windows Defender's Team:
I saw your post in the blog (10-Oct-2008) about my previous message.
Just want to say 'Hello' from Russia.
You are really good guys. It was a surprise for me that Microsoft can respond
on threats so fast.
I can't sign here now (he-he, sorry), how it was some years ago for more seriously
vulnerability for all Windows ;)
Happy New Year, guys, and good luck!
P.S. BTW, we are closing soon. Not because of your work. :-))
So, you will not see some of my great ;) ideas in that family of software.
Try to search in exploits/shellcodes and rootkits.
Also, it is funny (probably for you), but Microsoft offered me a job to help improve some of
Vista's protection. It's not interesting for me, just a life's irony.
Les détections de Zlob ont en effet incontestablement diminué au 2e semestre 2008, et en 2010,
Zlob ne faisait plus partie des 50 premières familles de virus les plus détectées dans le monde.
26
Win32/Conficker est une famille de vers découverte en novembre 2008 qui s'est initialement
propagée en exploitant une vulnérabilité abordée par la mise à jour de sécurité MS08-067,
distribuée le mois précédent. Le nombre de détections de Conficker a culminé au 1er semestre 2009
et a atteint ensuite un niveau bien inférieur, suite aux efforts coordonnés du groupe de travail sur
Conficker, Conficker Working Group, pour limiter l'étendue du ver et nettoyer les ordinateurs
infectés. Tous les 6 mois depuis cette époque, entre 3 et 6 % d'ordinateurs infectés ont été détectés.
JS/Pornpop est un logiciel de publicité qui se compose d'objets JavaScript spécialement
conçus qui tentent de faire apparaître des fenêtres publicitaires pop-under. Tout d'abord
détectée en août 2010, il s'agissait de la deuxième famille la plus détectée au 2e semestre 2010
et au 1er semestre 2011, et devrait être la famille la plus souvent détectée au 2e semestre 2011.
Win32/Autorun est un ver qui tente de se propager entre les volumes d'ordinateurs montés
en détournant la fonction AutoRun sous Windows. Le nombre de détections de Win32/Autorun
a progressivement augmenté pendant plusieurs périodes avant de connaître son niveau maximum
au 2e semestre 2010 ; il s'agissait en effet de la famille la plus détectée au cours de cette période.
Microsoft a modifié le fonctionnement de la fonction AutoRun sous Windows 7 et
Windows Server 2008 R2 dans le but d'aider à protéger les utilisateurs des menaces
s'attaquant à la commande AutoRun. Dans ces versions de Windows, la tâche AutoRun
est désactivée pour tous les volumes à l'exception des lecteurs optiques, tels que les lecteurs
de CD-ROM et de DVD-ROM, qui historiquement n'ont pas été utilisés pour transmettre le
logiciel malveillant AutoRun. Par la suite, Microsoft a publié un ensemble de mises à jour qui
a permis d'étendre cette modification à Windows XP, Windows Server 2003, Windows Vista
et Windows Server 2008. Ces mises à jour ont été publiées en tant que mises à jour importantes
via les services Windows Update et Microsoft Update depuis février 2011, ce qui a peut-être
contribué à faire diminuer le nombre de détections de Win32/Autorun en 2011.
D'autres familles de programmes malveillants et potentiellement indésirables ne sont pas si
répandues que les familles qui culminent, mais elles existent plus longtemps. La figure suivante
illustre la prévalence de certaines de ces familles de programmes malveillants plus constantes.
27
27
Figure 15. Familles de programmes malveillants qui sont restées actives à des niveaux inférieurs depuis 2007
Win32/Renos, classé dans la catégorie des chevaux de Troie téléchargeurs et droppers dans
les précédents volumes du Rapport sur les données de sécurité, était l'une des quatre familles
de logiciels malveillants les plus souvent détectées chaque semestre, à compter du 1er semestre
2007 jusqu'au 2e semestre 2010. Elle a culminé au 2e semestre 2008 et au 1er semestre 2010 et
n'a quitté le top 25 qu'au 2e semestre 2011. Renos est un cheval de Troie téléchargeur qui installe
un faux logiciel de sécurité sur les ordinateurs infectés.
Win32/Taterf, classé dans la catégorie des vers dans les précédents volumes du Rapport sur les
données de sécurité, était l'une des cinq familles de logiciels malveillants les plus souvent détectées
au cours de chaque semestre, du 2e semestre 2008 au 2e semestre 2010, et son niveau de détection
a été le plus important au 2e semestre 2009. Taterf est un ver qui se propage via des lecteurs mappés
pour dérober les informations de connexion et de compte des jeux en ligne populaires. La popularité
croissante des jeux de simulation en ligne massivement multijoueur a créé un marché (que les
développeurs des jeux eux-mêmes désapprouvent généralement) en « or » et en équipement
virtuel, que les joueurs échangent contre de l'argent bien réel. Ce phénomène a entraîné l'apparition
d'une catégorie de menaces comme Taterf, qui s'empare des mots de passe des joueurs ; les voleurs
peuvent alors proposer aux enchères le butin virtuel de leur victime. Taterf est une version modifiée
d'une menace similaire, Win32/Frethog, qui a prédominé au même moment.
Win32/Alureon, classé dans la catégorie des chevaux de Troie génériques dans les précédents
28
volumes du Rapport sur les données de sécurité, est une famille de chevaux de Troie qui vole les
données des utilisateurs et présente les caractéristiques de rootkit. Elle a été découverte au début
de l'année 2007 et a fait partie des 25 premières familles, ou en a été proche, chaque semestre
qui a suivi. Les variantes d'Alureon permettent aux personnes mal intentionnées d'intercepter le
trafic Internet entrant et sortant et de collecter des données confidentielles telles que des noms
d'utilisateur, des mots de passe et des informations de carte de crédit.
Menaces différentes à des moments différents
Un autre aspect, mis en lumière lorsque les logiciels malveillants et potentiellement indésirables
sont observés sur plusieurs années, est que différentes catégories de logiciels malveillants, à savoir
différents types de menaces, ont prédominé à des moments différents. La figure suivante illustre
la prévalence relative de trois catégories différentes de logiciels malveillants.
Figure 16. Vers, portes dérobées et logiciels potentiellement indésirables de type générique depuis 2006
29
29
En 2006 et en 2007, le paysage des logiciels malveillants était dominé par les vers, les
logiciels potentiellement indésirables de type générique et les portes dérobées. (Le terme
« Logiciel potentiellement indésirable de type générique » se rapporte aux programmes dont
le comportement est potentiellement indésirable et qui peuvent nuire à la vie privée, à la sécurité
ou à l'expérience informatique des utilisateurs) Les épidémies à grande échelle de vers tels que
Win32/Msblast et Win32/Sasser, qui se sont propagés en exploitant les vulnérabilités des services
de réseau, sont pratiquement de l'histoire ancienne. La principale raison de leur déclin est la
nature de ces épidémies, il s'agit d'épidémies à grande incidence, ce qui a poussé les fournisseurs
d'anti-programmes malveillants à accroître leurs efforts en matière de détection, de nettoyage et
de blocage et à finalement encourager l'adoption des mises à jour de sécurité qui s'attaquent aux
vulnérabilités touchées. La plupart des vers qui prédominaient en 2006 étaient des « mass-mailers »,
tels que Win32/Wukill et Win32/Bagle, qui se multiplient en envoyant par courrier électronique des
copies d'eux-mêmes aux adresses découvertes sur les ordinateurs infectés.
Les portes dérobées répandues comprenaient deux familles de botnet liées, Win32/Rbot
et Win32/Sdbot. Les variantes de ces familles sont créées à partir de kits de construction
de botnets échangés sur le marché parallèle pour les logiciels malveillants, et permettent
de contrôler les ordinateurs infectés sur Internet Relay Chat (IRC). Rbot et Sdbot ont été
largement supplantés par des familles de botnet plus récentes, mais sont toujours activement
utilisés, probablement à cause de la facilité relative avec laquelle les opérateurs de botnet
potentiels peuvent obtenir les kits de construction.
Les familles de chevaux de Troie qui prédominaient en 2006 et 2007 comprenaient
Win32/WinFixer, une des premières familles de faux logiciels de sécurité, et la barre d'outils
de navigateur Win32/Starware. À la différence de la plupart des familles de faux logiciels
de sécurité modernes, qui se font généralement passer pour des programmes d'analyse
des logiciels malveillants, WinFixer se fait passer pour un utilitaire qui identifie soi-disant des
violations de la vie privée dans le Registre de l'ordinateur et du système de fichiers, et propose
de les « supprimer » moyennant contribution. Win32/Starware est une barre d'outils de navigateur
qui surveille les recherches sur des moteurs populaires, lance sa propre recherche en tandem
et affiche les résultats dans un cadre en ligne de la fenêtre du navigateur.
30
Figure 17. Vers, chevaux de Troie téléchargeurs et droppers, et outils d'analyse et voleurs de mots de passe depuis 2006
La catégorie des chevaux de Troie téléchargeurs et droppers, qui a touché moins de
9 % des ordinateurs au 1er semestre 2006, a connu un essor rapide jusqu'à devenir l'une
des catégories de menaces les plus importantes en 2007 et 2008, principalement à cause
du nombre de détections supérieur de Win32/Zlob et de Win32/Renos.
La catégorie des vers, après avoir diminué fortement après son point culminant du 1er semestre
2006, a commencé à remonter en 2009 après la découverte de Win32/Conficker et a atteint une
deuxième fois son niveau maximum au 2e trimestre 2010, avec un nombre de détections supérieur
de Win32/Taterf et de Win32/Rimecud. Rimecud est une famille de vers à plusieurs composants qui
se propage via des lecteurs amovibles et la messagerie instantanée. Elle comprend également une
fonctionnalité de porte dérobée qui permet d'accéder sans autorisation à un ordinateur infecté.
Les familles de logiciels malveillants de la catégorie des outils d'analyse et voleurs de mots
de passe, responsables d'un pourcentage négligeable de détections au 1er semestre 2006, ont
connu une croissance lente mais constante en 2008 et 2009, avant de culminer au 2e trimestre
2010. Les voleurs de mot de passe de jeux tels que Win32/Frethog y sont pour beaucoup.
31
31
Figure 18. Logiciels publicitaires, logiciels potentiellement indésirables de type générique et chevaux de Troie
génériques depuis 2006
Les logiciels publicitaires, les logiciels potentiellement indésirables de type générique et les
chevaux de Troie génériques étaient les catégories de logiciels malveillants les plus souvent
détectées en 2010 et en 2011. Le nombre de détections de logiciels publicitaires a augmenté
de manière significative au 1er semestre 2011, avec notamment Win32/OpenCandy et JS/Pornpop.
OpenCandy est un logiciel publicitaire pouvant être attaché à certains programmes d'installation
de logiciels tiers. Certaines versions du programme OpenCandy envoient des informations
spécifiques à l'utilisateur sans son consentement, et ces versions sont détectées par les logiciels
anti-programme malveillant de Microsoft. Pornpop est une détection d'objets JavaScript
spécialement conçus qui tentent d'afficher des annonces pop-under dans les navigateurs Web
des utilisateurs. Initialement, JS/Pornpop n'apparaissait que sur les sites Web affichant du contenu
pour adultes. Il a toutefois été remarqué sur des sites Web sans contenu pour adultes.
Les logiciels potentiellement indésirables de type générique représentaient la catégorie de logiciels
malveillants la plus souvent détectée en 2006, elle a ensuite été moins prédominante en 2007 et
en 2008, puis a augmenté de nouveau pour devenir la catégorie la plus répandue au 2e trimestre
2011. Les familles importantes de cette catégorie au 2e trimestre 2011 étaient Win32/Keygen, une
détection générique d'outils créant des clés de produit pour des versions illicites de divers logiciels,
et Win32/Zwangi, un programme qui s'exécute comme un service en arrière-plan et modifie les
paramètres du navigateur Web dans le but de visiter un site Web spécifique.
32
La catégorie des chevaux de Troie génériques a touché environ un tiers des ordinateurs infectés
par un logiciel malveillant chaque semestre à compter du 2e semestre 2008. Plusieurs familles
de faux logiciels de sécurité appartiennent à cette catégorie, tel que Win32/FakeSpyPro, la famille
de faux logiciels de sécurité la plus souvent détectée en 2010. D'autres familles prédominant dans
cette catégorie sont Win32/Alureon, un cheval de Troie qui vole les données, et Win32/Hiloti, qui
interfère dans les habitudes de navigation des utilisateurs touchés et télécharge puis exécute des
fichiers arbitraires.
Catégories de menace par localisation
De menace ostensible (sous forme de vers autopropageables, par exemple), l'écosystème
de programmes malveillants s'est mué en une menace moins visible qui s'appuie davantage sur
l'ingénierie sociale pour se diffuser et s'installer. Cette transformation implique que la propagation
et l'efficacité des programmes malveillants dépendent à présent plus de facteurs linguistiques et
culturels. Certaines menaces s'étendent à l'aide de techniques qui ciblent les locuteurs d'une
langue particulière ou les utilisateurs de services attachés à une région géographique spécifique.
D'autres visent des vulnérabilités, des configurations de systèmes d'exploitation et des applications
inégalement réparties de par le monde. Les données relatives d'infection issues de plusieurs
produits de sécurité Microsoft pour certaines des régions les plus peuplées au monde démontrent
la nature très localisée des programmes malveillants et des logiciels potentiellement indésirables.
Par conséquent, le paysage des menaces est bien plus complexe que ne le laisserait penser
un simple examen des plus grandes menaces mondiales.
Données de sécurité 2011
La figure suivante illustre les pays/régions rapportant des nombres significativement élevés
d'ordinateurs nettoyés par des produits anti-programme malveillant Microsoft depuis 2009.2
2 Pour plus d'informations sur la manière dont les emplacements des ordinateurs sont déterminés, consultez le billet de blog Détermination de la géolocalisation des systèmes infectés par des programmes malveillants.
33
33
Figure 19. Pays/régions comptant un nombre significativement élevé d'ordinateurs nettoyés depuis 2009
La figure suivante montre les pays/régions ayant historiquement rapporté des taux d'infection
élevés par rapport au taux d'infection moyen pour tous les pays/régions.
34
Figure 20. Pays/régions aux taux d'infection historiquement élevés par rapport à la moyenne mondiale depuis 2009
La figure suivante montre les pays/régions ayant historiquement rapporté des taux d'infection
faibles par rapport au taux d'infection moyen pour tous les pays/régions.
Figure 21. Pays/régions aux taux d'infection historiquement faibles par rapport à la moyenne mondiale depuis 2009
35
35
Leçons à tirer des pays/régions les moins infectés
Ces dernières années, l'Autriche, la Finlande et le Japon connaissent des taux relativement faibles
d'infection par des programmes malveillants. Toutefois, la plupart des menaces globales répandues
dans les pays/régions très touchés par les programmes malveillants, comme le Brésil, la Corée et la
Turquie, sont aussi très présentes dans les pays/régions dont le taux d'infection est faible.
Les logiciels publicitaires constituent les catégories de menaces les plus courantes dans les
pays/régions aux taux les plus élevés d'infection par programmes malveillants, comme en cas
de taux d'infection faible. Cette catégorie arrive en effet en tête ou à la seconde place dans
chaque cas. JS/Pornpop (détecté sur plus de 6,5 millions d'ordinateurs uniques dans le monde
au second semestre 2010) et Win32/ClickPotato sont très répandus dans ces pays/régions.
Win32/Renos était principalement responsable des taux de chevaux de Troie téléchargeurs et
injecteurs, dans les pays/régions aux taux d'infection élevés comme dans les autres. Win32/Renos
est une famille de chevaux de Troie téléchargeurs et injecteurs répandue depuis plusieurs
années. Elle a été détectée sur plus de 8 millions d'ordinateurs uniques dans le monde en 2010.
Win32/Autorun, détecté sur plus de 9 millions d'ordinateurs uniques et Win32/Conficker,
dépisté sur plus de 6,5 millions d'ordinateurs uniques dans le monde en 2010, font partie du
top dix des menaces dans les pays aux taux faibles et élevés d'infection par des programmes
malveillants, hormis en Finlande.
Le taux relativement bas d'infection par des programmes malveillants en Autriche, en Finlande,
en Allemagne et au Japon ne signifie pas nécessairement que les criminels ne sont pas actifs dans
ces pays. Par exemple :
Davantage de sites d'hébergement de programmes malveillants (sur 1000 hôtes)
ont été observés en Allemagne qu'aux États-Unis en 2010.
Le pourcentage de sites hébergeant des téléchargements intempestifs automatiques en
Finlande était presque deux fois supérieur à celui des États-Unis au premier semestre 2010.
Au quatrième trimestre 2010, le pourcentage de sites hébergeant des téléchargements
intempestifs automatiques en Allemagne était 3,7 fois supérieur à celui observé aux États-Unis.
Le taux de sites hébergeant des téléchargements intempestifs automatiques au Japon était
12 % plus élevé qu'aux États-Unis au premier semestre 2010. Bien que ce pourcentage ait
brutalement chuté dans les deux pays au quatrième trimestre 2010, le même taux est resté
4,7 fois plus élevé qu'aux États-Unis à cette même période.
36
Les experts en sécurité de ces pays/régions indiquent que les facteurs suivants contribuent aux
faibles taux d'infection par des programmes malveillants dans leur pays :
De solides partenariats entre secteurs public et privé offrent des capacités proactives et
réactives.
Les CERT (computer emergency response team - équipe de réaction d'urgence informatique),
les fournisseurs d'accès Internet (FAI) et autres acteurs à l'affût des menaces permettent de
réagir rapidement aux menaces émergentes.
La culture IT implique une réponse rapide des administrateurs système aux rapports
d'infections ou d'abus du système.
L'application de politiques et la correction active de menaces en mettant en quarantaine les
systèmes infectés sur les réseaux du pays/de la région sont efficaces.
Des campagnes d'information et l'attention des médias sensibilisent le public aux problèmes
de sécurité.
Un faible taux de piratage de logiciels et la large utilisation de Windows Update/Microsoft
Update maintiennent des taux d'infection assez bas.
Cette liste présente des ressemblances frappantes avec le concept de défense collective
exposé dans un article de Scott Charney, vice-président de Trustworthy Computing chez
Microsoft, en 2010. « Collective Defense: Applying Public Health Models to the Internet »
(PDF) définit un modèle visant à améliorer la santé des périphériques connectés à Internet.
Pour y parvenir, les gouvernements, le secteur IT et les FAI doivent s'assurer de la santé des
périphériques des clients avant de leur accorder un accès illimité à Internet. L'approche proposée
consiste également à aborder les problèmes de sécurité en ligne à l'aide d'un modèle semblable
à celui utilisé par la société pour traiter les maladies humaines. Le modèle de la santé publique
englobe plusieurs concepts intéressants pouvant être appliqués à la sécurité Internet.
Les pays/régions les moins infectés au monde semblent déjà appliquer la plupart des actions
proposées par le modèle de santé de défense collective. Une vidéo sur ce modèle est disponible
sur le site Web de Trustworthy Computing ici.
37
37
Windows Update et Microsoft Update
Microsoft fournit divers outils et services permettant aux systèmes ou à leurs utilisateurs de
télécharger et d'installer des mises à jour directement depuis Microsoft ou, pour les professionnels,
de serveurs de mises à jour gérés par leurs administrateurs système. Le logiciel client de mise à jour
(appelé Mises à jour automatiques sous Windows XP et Windows Server 2003, et simplement
Windows Update sous Windows 7, Windows Vista et Windows Server 2008) se connecte à un
service de mise à jour pour la liste des mises à jour disponibles. Une fois que le programme de mise
à jour a déterminé les mises à jour applicables à chaque système unique, il installe les mises à jour
ou avertit l'utilisateur de leur disponibilité, selon la configuration du client et la nature de la mise à
jour.
Pour les utilisateurs, Microsoft fournit deux services utilisables par les programmes de mise à jour :
Windows Update fournit des mises à jour pour les composants Windows et les pilotes
de périphériques Microsoft ainsi que d'autres fournisseurs de matériel. Windows Update
diffuse également les mises à jour de signature pour les produits Microsoft anti-programmes
malveillants et la publication mensuelle de l'outil de suppression des logiciels malveillants.
Par défaut, lorsqu'un utilisateur active la mise à jour automatique, le client de mise à jour
se connecte automatiquement au service Windows Update pour les mises à jour.
Microsoft Update fournit toutes les mises à jour proposées par Windows Update ainsi que
pour d'autres logiciels Microsoft, comme le système Microsoft Office, Microsoft SQL Server
et Microsoft Exchange Server. Les utilisateurs peuvent s'inscrire à ce service en installant les
logiciels entretenus via Microsoft Update ou sur le site Web Microsoft Update.
Les clients avec de grandes infrastructures peuvent également utiliser Windows Server Update
Services (WSUS) ou la gamme de produits de gestion Microsoft System Center 2012 qui met à
disposition des services de mise à jour pour leurs ordinateurs gérés.
38
Figure 22. Utilisation de Windows Update et Microsoft Update, 2e semestre 2006 - 2e semestre 2011, indexée par rapport à l'utilisation
totale du 2e semestre 2006
Depuis son introduction en 2005, l'utilisation de Microsoft Update a considérablement
augmenté.
39
39
Conclusion
Cette édition spéciale du Rapport sur les données de sécurité fournit des informations sur
l'évolution des logiciels malveillants et autres formes de logiciels potentiellement non désirés
au cours des 10 dernières années.
L'informatique fait maintenant partie de notre vie quotidienne, et jour après jour, le numérique
s'impose en tant que base de la société moderne. La technologie de l'information et de la
communication (TIC) a transformé notre manière de vivre dans le bon sens, mais la société
fait toujours face à des défis de longue haleine, en constante évolution.
Devant le nombre croissant de personnes, d'ordinateurs et de périphériques connectés
à Internet, les cybermenaces sont de plus en plus sophistiquées dans leur capacité à recueillir
des données sensibles, perturber des opérations critiques et commettre des fraudes.
Aujourd'hui, ces cybermenaces sont souvent techniquement avancées, persistantes, bien
financées et motivées par le profit ou l'avantage stratégique. Les données de sécurité constituent
une ressource précieuse pour tous les utilisateurs d'Internet, que ce soit les entreprises, les
gouvernements et les consommateurs, confrontés à une pléiade de menaces tout sauf statiques.
Comme nous vivons dans un monde extrêmement dépendant de l'informatique, l'engagement
de Microsoft en matière de sécurité, de confidentialité et de fiabilité pourrait bien être plus
important aujourd'hui qu'à la création de Trustworthy Computing, en 2002.
Bon nombre de secteurs et d'entreprises, y compris Microsoft, investissent dans la recherche, des
méthodes de développement logiciel et des outils pour aider les gouvernements, l'industrie et les
particuliers à réduire et gérer les risques dus à l'incertitude associée aux menaces à l'évolution
fulgurante. Microsoft Trustworthy Computing continue à contribuer à l'écosystème informatique,
alors même que ce nouveau monde de périphériques, de services et de technologies de
communication poursuit son développement.
40
Annexe A : Technologies de protection informatique et restrictions
La lutte contre les menaces et les risques nécessite un effort concerté de la part des personnes,
des organisations et des gouvernements du monde entier. La section « Managing Risk » (Gestion
des risques) du site Web du rapport sur les données de sécurité Microsoft présente un éventail
de solutions visant à empêcher les actions nuisibles de logiciels malveillants, violations et autres
menaces de sécurité, ainsi qu'à détecter et limiter les problèmes lorsqu'ils se produisent.
Cette section du site Web aborde les sujets suivants :
La protection de l'entreprise, qui prodigue des conseils aux administrateurs IT d'entreprises
(petites, moyennes et grandes) de manière à améliorer leurs pratiques de sécurité et à se
tenir au courant des derniers développements.
La protection des logiciels, qui offre des informations aux développeurs de logiciels
concernant l'élaboration de logiciels sûrs, notamment internes, ainsi que la sécurisation
des systèmes associés à Internet contre les attaques.
La protection des personnes, qui propose des conseils sur la sensibilisation aux menaces
de sécurité et à l'utilisation sûre d'Internet au sein d'une organisation.
Vous trouverez davantage d'informations sur la vulnérabilité et les efforts de protection contre
les programmes malveillants dans les documents suivants :
Information Sharing and MSRC 2010, rapport du Microsoft Security Response Center
Livre blanc Mitigating Software Vulnerabilities
Malware research and response at Microsoft. Ce rapport se concentre sur le rôle et les activités
du Centre de protection Microsoft contre les programmes malveillants ainsi que sur notre
objectif de recherche et de réponse constantes et approfondies aux programmes malveillants.
Introducing Microsoft Antimalware Technologies. Ce livre blanc aide les professionnels IT
à comprendre le paysage global des programmes malveillants et comment tirer parti des
fonctionnalités de leur technologie anti-programmes malveillants.
41
41
Annexe B : Familles de menaces mentionnées dans ce rapport
Les définitions des familles de menaces mentionnées dans ce rapport sont adaptées
de l'encyclopédie du Centre de protection Microsoft contre les programmes malveillants, qui
contient des informations détaillées sur bon nombre de familles de programmes malveillants
et de logiciels potentiellement indésirables. Consultez l'encyclopédie pour plus d'informations
et de conseils concernant les familles reprises ici et tout au long du rapport.
Win32/Alureon. Cheval de Troie qui collecte des données confidentielles telles que des noms
d'utilisateur, des mots de passe et des informations de carte de crédit à partir du trafic Internet entrant
et sortant. Il peut également télécharger des données malveillantes et modifier les paramètres DNS.
Win32/Autorun. Famille de vers qui se diffusent en se copiant sur les lecteurs mappés
d'un ordinateur infecté. Ces lecteurs mappés peuvent être des lecteurs réseau ou amovibles.
Win32/Bagle. Ver qui se répand en s'envoyant par courrier électronique aux adresses
trouvées sur un ordinateur infecté. Certaines variantes se diffusent également par le biais
de réseaux P2P. Bagle se comporte comme un cheval de Troie de porte dérobée et peut
servir à propager d'autres logiciels malveillants.
Win32/ClickPotato. Programme qui affiche des publicités « pop-up » et des notifications
publicitaires selon les habitudes de navigation de l'utilisateur.
Win32/Conficker. Ver qui se propage en exploitant une vulnérabilité concernée par le Bulletin
de sécurité MS08-067. Certaines variantes se diffusent aussi via des lecteurs amovibles ou en
exploitant des mots de passe faibles. Il désactive des services système et des produits de sécurité
importants et télécharge des fichiers arbitraires.
Win32/FakeSpyPro. Famille de faux antivirus diffusée sous les noms Antivirus System PRO,
Spyware Protect 2009, etc.
Win32/Fixer. Programme malveillant qui localise diverses entrées de registre et autres types
de données, les identifie à tort comme violations de la vie privée et invite l'utilisateur à acheter
un produit pour supprimer les prétendues violations.
Win32/Frethog. Grande famille de chevaux de Troie voleurs de mots de passe qui ciblent
les données confidentielles, comme des informations de compte, à partir de jeux en ligne
massivement multijoueur.
42
Win32/Hiloti. Famille de chevaux de Troie qui interfèrent avec les habitudes de navigation
d'un utilisateur affecté, téléchargent et exécutent des fichiers arbitraires.
Win32/Keygen. Détection générique d'outils qui génèrent des clés de produit pour des
versions illicites de divers produits logiciels.
Win32/Msblast. Famille de vers réseau qui exploitent une vulnérabilité de
Microsoft Windows 2000 et Windows XP, pouvant même tenter des attaques par déni de
service (DoS) sur certains sites de serveur ou créer des programmes de porte dérobée qui
permettent à des personnes malveillantes d'accéder aux ordinateurs infectés.
Win32/Mydoom. Famille de vers de publipostage agissant comme des chevaux de Troie
de porte dérobée et permettant aux personnes malveillantes d'accéder aux systèmes infectés.
Win32/Mydoom peut également servir à diffuser d'autres programmes malveillants, et certaines
variantes lancent des attaques DoS contre des sites Web spécifiques.
Win32/Nimda. Famille de vers qui ciblent les ordinateurs qui exécutent certaines
versions de Windows et exploitent la vulnérabilité décrite dans le Bulletin de sécurité
Microsoft MS01-020 pour s'étendre, en infectant des documents de contenu Web et en
s'attachant aux messages électroniques.
Win32/OpenCandy. Logiciel publicitaire pouvant être attaché à certains programmes
d'installation de logiciels tiers. Certaines versions peuvent envoyer des informations spécifiques
à l'utilisateur, notamment un code machine unique, des informations sur le système d'exploitation,
des paramètres régionaux et certaines autres informations à un serveur distant sans le
consentement de l'utilisateur.
JS/Pornpop. Détection générique d'objets JavaScript spécialement conçus qui tentent d'afficher
des annonces « pop under », généralement du contenu pour adultes.
Win32/Rbot. Famille de chevaux de Troie de porte dérobée qui ciblent certaines versions de
Windows et permettent à des personnes malveillantes de contrôler les ordinateurs infectés par
le biais d'un canal IRC.
Win32/Renos. Famille de chevaux de Troie téléchargeurs qui installent de faux logiciels
de sécurité.
43
43
Win32/Rimecud. Famille de vers à plusieurs composants qui se diffusent via des lecteurs fixes et
amovibles ainsi que par la messagerie instantanée. Ils comprennent également une fonctionnalité
de porte dérobée qui permet d'accéder sans autorisation à un système infecté.
Win32/Rustock. Famille de plusieurs composants de chevaux de Troie de porte dérobée rootkit,
développés vers 2006 pour faciliter la distribution de courrier indésirable.
Win32/Sasser. Famille de vers réseau qui exploitent la vulnérabilité du service de sous-système
LSA (Local Security Authority) corrigée par la Mise à jour de sécurité Microsoft MS04-011.
Win32/Sdbot. Famille de chevaux de Troie de porte dérobée qui permettent aux personnes
malveillantes de contrôler les ordinateurs infectés.
Win32/Sircam. Famille de vers réseau de publipostage qui ciblent certaines versions de
Windows et se répandent en envoyant des copies d'eux-mêmes en pièce jointe de courrier
électronique à des adresses trouvées sur les ordinateurs infectés.
Win32/Starware. Barre d'outils de navigateur web qui surveille les recherches sur des moteurs
populaires, lance sa propre recherche en tandem et affiche les résultats dans un IFrame, dans la
fenêtre du navigateur.
Win32/Taterf. Famille de vers qui se propagent via des lecteurs mappés pour voler des
informations de connexion et de comptes de jeux en ligne populaires.
Win32/Wukill. Famille de vers de publipostage et réseau qui se répandent aux répertoires racines
de certains lecteurs locaux et mappés. Ils se diffusent également en envoyant des copies d'eux-
mêmes en pièce jointe de courrier électronique à des adresses trouvées sur les ordinateurs infectés.
Win32/Zlob. Grande famille à plusieurs composants de programmes malveillants qui modifient
les paramètres de Windows Internet Explorer, changent et redirigent les pages de recherche et
d'accueil Internet par défaut de l'utilisateur, et tentent de télécharger et d'exécuter des fichiers
arbitraires (notamment d'autres logiciels malveillants).
Win32/Zotob. Ver réseau qui cible principalement les ordinateurs Windows 2000 sur lesquels
le Bulletin de sécurité Microsoft MS05-039 n'est pas installé. Il exploite la vulnérabilité de
dépassement de la mémoire tampon de Windows Plug-and-Play.
Win32/Zwangi. Programme qui s'exécute en tant que service en arrière-plan et modifie
les paramètres du navigateur Web pour visiter un site Web particulier.
44