Académique Documents
Professionnel Documents
Culture Documents
Sommaire
1
Avant-propos
14
Malwares de type Web : plus sophistiqus, varis et camous
Kits d'exploits : Blackhole la trane derrire des modles plus volus............................................................................15 Propagation mondiale de Zbot...........................................................16 Conseils pratiques pour protger votre serveur Web et vos clients...................................................................................17
2
Introduction : les malwares voluent en 2013
4
Les botnets s'tendent et deviennent plus furtifs
Tendance 2013 : ZeroAccess: impact par la redirection de son trac d'attaque (sinkholing) mais rebondit rapidement..... 5 Dtections ZeroAccess par pays.........................................................6 Les Botnets exploitent Bitcoin.............................................................6
18
Menaces ciblant les comptes nanciers
20
Windows : le danger croissant des systmes sans correctifs
7
Malwares Android : transformation et gain d'efcacit
Dtections des malwares Android les plus diffuss, octobre 2013............................................................................. 8 Anatomie d'un mobile pirat : comment les pirates tirent prot des smartphones...........................................................................9
22
Le spam se rinvente
Juin 2013 : le spam en pice jointe, ou comment tlcharger une montagne d'ennuis.........................................................................23
10
Linux : une technologie capitale qui attire les criminels
24
SophosLabs : comment garder une longueur d'avance sur les attaques les plus complexes de notre poque
12
Mac OS X : une anne marque par une multitude de petites attaques
4 conseils pratiques pour protger facilement votre Mac......13
26
Tendances observer en 2014
29
En conclusion
Sources...................................................................................................... 30
Pour accder des ressources supplmentaires et aux outils rfrencs dans le rapport, rendez-vous sur
sophos.fr/threatreport
Avant-propos
La tendance la plus marquante de cette anne 2013 fut le recours au camouage de plus en plus courant des attaques de malwares. Grce la distribution massive de botnets sophistiqus et de code source de kits d'exploits, les auteurs de malwares ont t capables de mettre au point des attaques plus volues et diversies.
Les cybercriminels proposent dsormais leurs services sur le march noir l'aide de solutions de commercialisation en-ligne. Le kit d'exploit Blackhole, pourtant la pointe de l'innovation en 2012, s'est vu dpasser cette anne par plusieurs autres kits d'exploits bass en partie sur le mme code. Les botnets ainsi crs sont responsables de l'augmentation massive des ransomwares, comme Cryptolocker. Les malwares modernes se caractrisent principalement par leur furtivit. L'une des menaces furtives les plus virulentes actuellement, les APTs (menaces persistantes avances), cible trs prcisment les donnes des individus, des entreprises et des gouvernements. Les APT sont donc des armes ultra sophistiques pour livrer des attaques cibles dans le cyber-espace. L'anne 2013 a connu un nombre considrable de fuites de donnes dont l'espionnage industriel et la divulgation de donnes d'entreprise). Les APT que nous avons dtectes cette anne taient bien organises, bien nances, et menes par des individus ultra-motivs, comptents, et utilisant des technologies de pointe. Une fois sa mission acheve, l'APT continue rcolter des informations supplmentaires. Pour se dfendre contre la nature furtive et persistante des APT, il est ncessaire d'adopter une approche coordonne la fois sur les systmes et au niveau du rseau. La scurit n'est plus un luxe mais une ncessit. Les entreprises et les gouvernements concerns juste titre par la protection des donnes sensibles et la condentialit, ont dsormais le devoir de connatre la nature des problmes de scurit pesant sur les systmes d'infrastructures critiques. Nous ne pouvons plus considrer la scurit des guichets automatiques, des systmes aronautiques, et des systmes permettant l'approvisionnement en eau et en lectricit, comme acquise et immuable. Ces rseaux vitaux ont fait l'objet d'attaques rcentes, ce qui dmontre bien la vulnrabilit de l'infrastructure fondamentale sur laquelle nous reposons tous. Ces systmes, dont ceux des infrastructures de rseu intelligent smart grid, pourraient bien tre viss nouveau au cours de l'anne venir. La popularit croissante de l'"Internet des objets" (appareils mobiles, applications, rseaux sociaux, gadgets interconnects) fait que les menaces sont galement en essor constant. De nouvelles menaces font leur apparition mesure que des technologies mergentes, telles que la communication sans contact (NFC), sont intgres dans les plates-formes mobiles. Par ailleurs, l'usage de services GPS innovants, pour relier nos vies digitales et physiques fournit encore plus d'opportunits aux cybercriminels de compromettre scurit et condentialit. Ces systmes pourraient bien engendrer des attaques susceptibles de nous toucher tous trs personnellement. En 2014, il sera donc crucial non seulement d'observer l'volution des attaques existantes, mais aussi l'apparition de nouveaux types inconnus jusque-l. Bonne lecture,
Sophos et d'autres diteurs de scurit dtectent de plus en plus de menaces destines des entreprises, des industries ou des organismes gouvernementaux spciques. Les attaques sur les transactions et comptes nanciers ont commenc franchir les limites des pays dEurope de lEst, o elles s'taient concentres jusqu' prsent. Certaines menaces restent cycliques : elles reviennent plusieurs fois avant de disparatre pendant quelques annes. Nous avons par exemple constat le retour des arnaques de pump-and-dump (spam lis des cours de stock options) que l'on pensait avoir t radiques il y a quelques annes par la commission amricaine des titres et de la Bourse. Nous avons galement rencontr cette anne une nouvelle version de ransomware particulirement virulent connu sous le nom de Cryptolocker. Bien que le ransomware existe depuis presque 25 ans, cette nouvelle version soutire de l'argent l'utilisateur en lui bloquant l'accs ses chiers au moyen d'une technique de chiffrement trs robuste.
Heureusement, l'anne 2013 a aussi connu des vnements positifs, comme l'attestent les informations suivantes. Le crateur prsum de Blackhole, un au mondial en 2012, a t arrt en octobre, preuve d'une ractivit accrue des autorits l'encontre de la cybercriminalit. Google a fait des progrs techniques dans le domaine de la protection de sa plate-forme Android et a mis en place un rglement plus strict l'gard des applications malveillantes et potentiellement indsirables. Les experts des SophosLabs ont dcouvert des mthodes rvolutionnaires pour dtecter et dsinfecter les menaces, en sappuyant sur les technologies d'informatique dans le Cloud et les approches Big Data. Que vous soyez une PME, une grande entreprise, une cole, un organisme gouvernemental ou encore un particulier, notre lutte commune contre les malwares continue avec vous. Et comme toujours, nous nous engageons vous fournir les outils indispensables votre protection.
Les botnets distribuent des ransomwares plus dangereux Plus les utilisateurs sont duqus propos des escroqueries en ligne et des faux antivirus, plus les botnets sorientent vers les ransomwares. Les criminels demandent dsormais des sommes exorbitantes aux utilisateurs pour leur rendre l'accs leurs donnes. Cryptolocker est sans aucun doute le ransomware le plus dangereux et le plus rpandu actuellement. Celui-ci s'ajoute la liste de programmes Windows qui s'excutent au dmarrage. Puis il dtecte un serveur infect, envoie un chier ID de l'ordinateur hte, cherche une cl publique dans le serveur (qui contient galement la cl prive correspondante), et grce cela, encode toutes les donnes et les chiers image qu'il peut trouver. Le seul moyen de rcuprer les donnes chiffres est d'utiliser la cl prive, pour laquelle les criminels demandent une ranon (que nous vous dconseillons de payer).4 Bien que Cryptolocker soit parfois diffus par courriel, il est le plus souvent distribu par des botnets qui ont dj le contrle de votre ordinateur. Et pour cela, rien de plus facile : les bots rpondent tout simplement une commande de mise niveau permettant aux criminels de mettre jour, de remplacer ou de complter des malwares dj prsents sur l'ordinateur. Quand l'utilisateur s'en rend compte il est dj trop tard.5
Hausse des botnets distribuant des malwares bancaires Le code source de Carberp, un kit de dtournement d'identiants bancaires responsable du vol de plus de 250 millions de dollars, a t dissmin mi 2013.6 Il a depuis franchi les frontires russes, son domaine d'origine, et nous avons reconnu des lments de son code source dans d'autres botnets Ce code est bas sur le code du kit Power Loader, qui grce des techniques d'avant-garde, russit livrer les malwares sans tre dtect.7 En Europe et au Royaume-Uni, de nombreux utilisateurs ont rencontr Shylock/Caphaw, un malware bancaire distribu par botnet qui cible les clients des plus grands organismes nanciers tels que Barclays, Bank of America, Capital One, Citi Private Bank, et Wells Fargo.8
Tendance 2013 : ZeroAccess est frapp par la redirection du trac d'attaque (sinkholing), mais rebondit rapidement Le sinkholing ralis par les diteurs de scurit avait russi faire chuter le nombre de systmes infects par ZeroAccess dtects par Sophos en juillet et aot 2013. Pourtant en septembre, un nombre record d'ordinateurs se trouvaient nouveau infects par le botnet, preuve de l'extrme ractivit des oprateurs de ZeroAccess.
Source: SophosLabs Jan. Fv. Mars Avr. Mai Juin Juil. Aot Sept. Oct. Nombre d'chantillons
Des botnets plus furtifs Dans certains botnets, la premire adresse de C&C que le client infect tente de contacter ne fait pas partie d'un botnet. C'est un domaine lgitime (mais pirat), difcile bloquer. Souvent, le client botnet contacte un serveur PPP (type de serveur daccs distant) en mode proxy, qui redirige la connexion. Par consquent, si l'on cible le premier serveur, un simple proxy, l'on n'atteint pas le vrai centre de commande du botnet.
Les botnets utilisent de plus en plus le "darknet" Les botnets utilisent de plus en plus souvent les rseaux cachs tels que Tor, qui chappent la surveillance.9 Celui-ci a permis notamment des organismes tels que Wikileaks de protger leurs sources, et hberge le march noir Silk Road, connu pour sa facilitation de transactions illicites. Les botnets peuvent cacher des serveurs de C&C sur le rseau Tor, ce qui les rend inniment plus difciles dtecter. Pour se protger, les entreprises interdisent souvent leurs employs d'utiliser Tor, et contrlent les applications pour viter l'utilisation de logiciel client du navigateur Tor.
Dtections ZeroAccess par pays En octobre 2013, ZeroAccess contrlait des milliers de systmes aux Etats-Unis et au Royaume-Uni, et tait largement dtect en Allemagne, Australie et Italie. Systmes d'extrmit Etats-Unis 6,754 Royaume-Uni 1,625 Allemagne 747 Australie 622 Italie 458 Canada 360 France 340 Pays-Bas 170 Espagne 110 Autres 1,014
Source: SophosLabs
La gnration de Bitcoins par les botnets : une autre source de revenus permise par les malwares
Les oprateurs de botnets sont constamment la recherche de nouvelles faons de s'enrichir. Lexploitation de Bitcoins, une monnaie lectronique totalement indpendante, s'est avr trs lucratif en 2013. La valeur du Bitcoin a uctu entre $150 et $200 USD au cours des derniers mois.10 Les nouveaux Bitcoins sont crs en utilisant des problmes mathmatiques complexes qui demandent une puissance de traitement informatique importante que les plus gros botnets mondiaux sont en mesure de fournir. Entre mai 2012 et fvrier 2013, et pour trois semaines en avril 2013, les clients du botnet ZeroAccess furent utiliss pour gnrer des Bitcoins.11
Bien que les Bitcoins aient considrablement augment durant cette priode, ZeroAccess a ni par dsactiver la fonctionnalit. Pourquoi? Nous n'en sommes pas entirement srs, mais peuttre que l'opration attirait trop d'attention ou ne rapportait pas autant que la fraude au clic. Certains parlent d'un nouveau moyen de gnrer les Bitcoins, bien plus efcace que la distribution par botnet.12 Bien que ZeroAccess ne gnre plus de Bitcoins, d'autres oprateurs de botnets n'abandonnent pas l'ide pour autant. L'expert en scurit Brian Krebs a dcouvert que le botnet russe FeodalCash effectuait de plus en plus d'oprations de gnration depuis le mois de mai 2013.13
Nouveaux botnets pour Android Des rapports rcents font tat dun botnet de grande envergure contrlaant des priphriques Android, tout comme d'autres dans le domaine du PC. Ce botnet, que Sophos dtecte sous le code Andr/GGSmart-A, semble jusqu' prsent se limiter la Chine. Il utilise la technologie de centre de commande et de contrle pour communiquer avec les appareils mobiles infects, provoquant par exemple l'envoi de SMS surtaxs qui sont facturs au propritaire du priphrique. Contrairement aux attaques Android typiques, il a la capacit de modier et de contrler les numros de SMS surtaxs, le contenu, et mme les programmes d'aflis sur l'ensemble de son vaste rseau. C'est le malware pour Android le plus efcace et le plus dangereux de sa gnration.15 Les ransomwares s'attaquent Android Le concept du ransomware est relativement ancien, les premiers cas datant d'il y a 25 ans. Celui-ci opre en prenant vos chiers ou votre priphrique en otage, et en vous demandant une ranon an d'en regagner l'accs. En juin 2013, Rowland Yu, chercheur Sophos, a dcouvert le premier cas de ransomware sur Android. Android Defender, un malware hybride entre faux antivirus et application ransomware, exige un paiement de $99.99 pour rendre l'accs au priphrique retenu.
Au dmarrage, l'apparence professionnelle d'Android Defender lui permet de rechercher, sans veiller les soupons, les droits d'administrateur grce une multitude de techniques d'ingnierie sociale. S'il les obtient, il peut limiter l'accs toutes les autres applications, bloquant ainsi les fonctions d'appel, de paramtrage, d'arrt des tches, de dsinstallation des applications, ou mme de rinitialisation. Il afche un message d'avertissement visible l'cran, quoi que fasse l'utilisateur. Il est mme capable de dsactiver les touches Retour/Home puis de s'excuter lors du prochain dmarrage pour viter d'tre supprim. L'une des seules choses qu'il n'est pas capable de faire pour l'instant, c'est de chiffrer votre contenu ou vos donnes personnelles.16 Nous nous attendons nanmoins vous l'annoncer dans le prochain rapport. Le dtournement de fonds via smartphone En septembre 2013, nous avons dtect une nouvelle forme de malware bancaire destin dtourner des fonds via Android grce une combinaison de techniques d'ingnierie sociale et d'attaques de type "man-in-the-browser" contre Windows. Parfois appel Qadars, les SophosLabs le dtecte sous le code Andr/Spy-ABN. Bien que le taux de dtection soit relativement faible en ce moment, il a dj frapp des organismes nanciers franais, nerlandais et indiens.
Dtections de malwares Android les plus vastes, octobre 2013 Bien qu'aucune famille de malwares pour Android ne prdomine actuellement, la plus dtecte est Andr/BBridge-A. Ce cheval de Troie installe des applications malveillantes sur le priphrique l'aide d'un exploit qui excute une escalade de privilges. Andr/BBridge-A s'est montr trs persistant : il occupait dj la seconde place de notre liste d'infections en juin 2012.17 Andr/BBridge-A Andr/Fakeins-V Andr/Generic-S Andr/Qdplugin-A 9% 6% 5% 3% Andr/Adop-A Andr/Boxer-D Andr/SmsSend-BY Andr/DroidRt-A 2% 2% 2% 2% Andr/SmsSend-BE Andr/MTK-B Autres 2% 2% 65%
Outil gratuit
Sophos Mobile Security pour Android
Tout comme son prdcesseur Zeus, Andr/Spy-ABN commence par agir du ct de Windows o il injecte du code dans Internet Explorer pour intercepter les donnes de l'utilisateur avant qu'elles ne soient chiffres et envoyes vers l'organisme nancier. Il capture galement les certicats personnels du navigateur et les cookies. Une fois authenti, l'utilisateur est inform que par mesure de scurit (quelle ironie!) sa banque exige maintenant une nouvelle application pour smartphones. Sur saisie de son numro et du modle du tlphone, il reoit un SMS contenant un lien vers l'application malveillante. Comme si cela ne sufsait pas, le code inject empche l'utilisateur d'accder ses comptes jusqu' ce que le malware soit install et lui fournisse un code d'activation.18
Scurisez votre Android La plate-forme Android a rcemment fait l'objet d'amliorations de scurit. Contrairement aux versions prcdentes, Android 4.3 n'autorise plus le tlchargement automatique des applications. Google est galement plus strict envers les dveloppeurs, surtout dans le cas des applications potentiellement indsirables, qui ne sont pas des malwares proprement parler, mais qui sont souvent trop intrusives. Google interdira dsormais certains formats d'applications et d'annonces, notamment l'insertion d'annonces tierces ou de liens sur la page d'accueil, le changement de la page d'accueil du navigateur, ou l'utilisation de la zone de notication du systme des ns diffrentes.19
Anatomie d'un mobile pirat : comment les pirates tirent prot des smartphones Votre appareil Android vous parat peut-tre inoffensif, mais une fois pirat, il peut surveiller vos moindres faits et gestes et usurper votre identit, participer aux activits dangereuses d'un botnet, drober vos donnes personnelles et mme votre argent.20
350000
Echantillons de malwares pour Android dtects par les SophosLabs*
Surveillance
Usurpation d'identit
Redirection de SMS Expdition de messages lectroniques Publication de messages sur les rseaux sociaux
$5.4 millions
Cot moyen d'une fuite de donnes aux Etats-Unis en 20121
Dtails de compte Contacts Journal d'appels Numro de tlphone Dtournement de donnes via des applications vulnrables Dtournement du numro d'identit international d'quipement mobile (IMEI)
Envoi de SMS surtaxs Dtournement de numros d'authentication de transaction (TAN) Extorsion de fonds via ransomware Faux antivirus Appels surtaxs
Activit du botnet
$99.99
Prix demand par le ransomware Android Defender*
Source : SophosLabs 1 Source : 2013 Cost of Data Breach Study, Ponemon Institute 2 Source : Whats the Worst U.S. City for Smartphone Theft?, Mashable
10
Nous voyons un grand nombre de scripts PHP malicieux qui jouent le rle de "nuds" dans un systme de distribution plus large afli un botnet, qui permet au systme d'excuter des charges virales malveillantes telles que les attaques par dni de service. (pour plus d'informations sur les attaques de serveurs Web telles que Darkleech et Redkit, voir page 16.) Les scripts PHP pirats s'excutent souvent sur des platesformes vulnrables telles que les versions non corriges de WordPress.21 Par exemple, en 2013, nous avons dtect un exploit dans le moteur PHP excutant le systme de gestion de contenu Plesk. Une certaine commande permettait aux criminels de gagner l'accs au moteur et d'excuter le script PHP de leur choix.22 Plus les administrateurs ajoutent de scripts et de services tiers, plus ils largissent la surface d'attaque de leurs systmes Linux. Ceci souligne l'importance d'installer les correctifs rapidement et d'adopter une approche multiniveaux de la protection du systme d'exploitation Linux et des services qu'il excute.
Souvent, les serveurs de chiers Linux traditionnels hbergent des malwares ciblant Windows et d'autres systmes d'exploitation. Par consquent, mme si un serveur Linux n'est pas lui-mme directement vis, il peut infecter les priphriques auquel il est reli. En 2013, nous avons ralis nos premires dtections de gros volumes de malwares pour Android sur les systmes Linux. Bien sr, si un serveur Linux, un hbergeur de script, ou un serveur Web est infect par du malware, celui-ci peut facilement dtecter les requtes HTTP provenant d'appareils Android, et distribuer les malwares en fonction. Il est donc important que tout systme Linux qui fournit des services Windows ou d'autres clients soit quip d'un logiciel antimalware.
11
installe, divulgue un ensemble d'informations concernant la machine infecte. Selon Intego, certaines versions tentent de tlcharger une image de la Syrian Electronic Army, un groupe de pirates qui se vantait dtre l'origine d'une cyberguerre en faveur du gouvernement syrien de Bashar al-Assad.27 Attaques par Apple Developer ID Dans les versions les plus rcentes d'OS X, l'outil Gatekeeper permet l'installation par dfaut de logiciels obtenus via la boutique Apple, ou sign viaune signature Apple Developer ID. Mais que se passe-t-il si un logiciel malveillant russit s'approprier la signature? C'est ce qui est arriv entre dcembre 2012 et fvrier 2013, quand des applications "Christmas Card" malveillantes, signes par le dveloppeur Apple Rajinder Kumar, furent distribues par courriel. Avant que son identit ne soit rvoque par Apple, plusieurs utilisateurs avaient lanc la charge virale OSX/HackBack-A : un malware qui tlchargeait des versions compresses de leurs documents sur un serveur distant.28 Mais Christmas Card n'a pas t le seul malware pour Mac de l'anne. Cet t, le cheval de Troie Janicab, bas sur Python, utilisait la mme technique.29 Il est possible que d'autres attaques du mme genre aient chapp la dtection, et dans le cas contraire, il est probable que d'autres fassent leur apparition l'avenir.
Adwares et ransomwares 2013 a vu l'essor des adwares agressifs, entre logiciels potentiellement indsirables et malwares, non seulement dans Android mais aussi dans les navigateurs. Souvent, ces plug-ins utilisent un installateur agressif (qui ignore mme parfois les prfrences de l'utilisateur), se font passer pour des codecs vido exigs par l'utilisateur (OSX/FkCodec-A),30 ou convainc l'utilisateur d'accepter l'installation. En parlant de navigateurs, certains utilisateurs de Mac Safari ont fait les frais d'une version infrieure de ransomware en 2013. Tout comme les autres ransomwares, il afchait de faux messages provenant prtendument des autorits, demandant l'utilisateur de payer une amende pour avoir visionn ou tlcharg du contenu illicite. Contrairement au ransomware le plus dangereux de l'anne (Cryptolocker, qui ne touche que Windows), ce malware Mac ne chiffre pas les chiers. Il excute simplement un code JavaScript qui capture le navigateur, et qui rapparat aprs une sortie force. Heureusement, ce JavaScript peut tre supprim sans subir de cots ni de dgts, en slectionnant Rinitialiser Safari dans le menu Safari.31 Pour terminer, comme dans le cas des serveurs Linux, les serveurs (et parfois les clients) Mac OS X hbergent souvent des malwares inactifs jusqu' tre transfrs vers un systme Windows. De nombreux utilisateurs excutent des machines virtuelles Windows sous OS X l'aide de logiciels tels que Parallels Desktop. Ces machines virtuelles sont tout aussi exposes aux malwares que les systmes Windows classiques. Les utilisateurs Mac qui utilisent rarement Windows ne devraient pas pour autant ngliger leur protection.
Les malwares sont moins frquents sur Mac que sur Windows ou Android, mais ils ne sont pas inexistants, et il est important de s'en dfendre. Heureusement, vous pouvez rduire les risques en suivant ces quelques conseils. Supprimez Java moins d'en avoir rellement besoin. Si vous ne pouvez pas le supprimer compltement, retirez-le au moins de votre navigateur, o se trouvent les pires menaces Java. Il est de plus en plus facile d'viter Java dans Mac. OS X Lion et les versions suprieures ne l'installent plus par dfaut, et si vous l'installez quand mme, le systme d'exploitation le supprime automatiquement aprs 5 semaines d'inactivit.32 Installez rgulirement les correctifs. De nombreuses attaques pourraient tre vites si l'utilisateur installait les correctifs ds leur sortie. Il y a bien sr toujours des nouvelles vulnrabilits
corriger : la mise jour OS X 10.8.5 de septembre 2013 a corrig des failles d'excution distance dans plusieurs parties du systme, de CoreGraphics ImageIO en passant par PHP et QuickTime.33 Si votre version de OS X le permet, tlchargez uniquement les applications de l'App Store Mac. Vous pourrez toujours occasionnellement contourner la restriction pour tlcharger une application lgitime, mais tout en sachant que vous tes bien protg le reste du temps. quipez votre Mac d'un antivirus, si ce n'est pas dj fait. Si vous tes un particulier qui utilise actuellement un Mac sans antivirus, nous vous offrons l'opportunit de protger votre ordinateur avec une solution gratuite de niveau professionnel : tlchargez Sophos Antivirus pour Mac dition familiale, qui bloque mme les menaces de type Web nouvelle gnration.
13
14
Ces attaques envers les serveurs Web soulignent le besoin d'une meilleure collaboration entre les diteurs de scurit et les hbergeurs de sites Web, pour mieux comprendre les attaques aussi complexes et subtiles que Darkleech. Du point de vue technique, celles-ci sont dj exceptionnellement difciles dtecter. Nous avons aid plusieurs hbergeurs nettoyer leurs serveurs. Mais comme l'hbergement est une activit faible marge, il n'est pas rare que ceux-ci remplacent les serveurs infects par de nouveaux serveurs virtuels plutt que de diagnostiquer la cause du problme. Et puisqu'ils ne prennent pas le temps de comprendre, le problme se transmet rapidement sur les nouveaux serveurs. Il est donc conseill de se renseigner sur les procdures que suit son hbergeur en cas d'infection, et s'il a des mesures en place pour viter la rinfection. Davantage de malvertising On appelle "malvertising" les annonces malveillantes distribues sur les rseaux publicitaires et sites Web lgitimes. Ce phnomne, qui existe depuis longtemps, a connu une recrudescence en 2013, touchant mme des grands sites tels que YouTube. De nos jours, il apparat le plus souvent sous forme de contenu Flash malveillant. Si l'utilisateur clique sur l'annonce Flash, il risque d'tre rorient vers un site malveillant grce du code ActionScript. Un trs bon exemple de cheval de Troie rcent est Troj/SWFRed-D. Prsent dans de nombreuses publicits YouTube en 2013, celui-ci redirige l'utilisateur vers le kit d'exploit Styx, ce qui explique pourquoi ce dernier est devenu aussi courant ces derniers temps (voir le tableau cidessous).
L'annonce contenant du code ciblant les failles dans le lecteur Flash du client, il peut mme infecter les utilisateurs Flash sans les rediriger. Au-del de Blackhole : tout un monde de kits d'exploits Notre rapport 2012 couvrait en profondeur Blackhole, le kit d'exploit d'avant-garde qui permettait aux auteurs de malwares de distribuer potentiellement n'importe quelle charge virale. Bien que ce kit existe toujours (il est d'ailleurs utilis dans les attaques Darkleech dont nous avons parl cidessus), il n'est plus unique en son genre. Plusieurs groupes de criminels ont russi crer de nouveaux kits d'exploits ultra-puissants bass sur les innovations de Blackhole, sans avoir le rtroanalyser. Rcemment, Blackhole n'tait que 8me du classement des malwares les plus rpandus. Avec l'arrestation de son auteur prsum, M. Paunch,36 il est probable qu'il perde encore plus de places. Notons que cette arrestation a men l'augmentation immdiate des prix de Neutrino, l'un de ses concurrents.37
Kits d'exploits : Blackhole la traine derrire des modles plus volus Blackhole, qui dominait le monde en 2012, a t dpass par de nouveaux kits tels que Neutrino et Redkit en 2013. Neutrino Kit inconnu Redkit 24% 21% 19% SweetOrange Styx Glazunov/Sibhost 11% 10% 5% Nuclear Blackhole/Cool Autres 4% 3% 3%
15
L'avnement de Redkit Tandis que Blackhole cible les failles de Java, de PDF et de Flash, une multitude de nouveaux kits se concentrent uniquement sur Java. C'est le cas de Redkit, qui cible les sites Web lgitimes et qui tait par ailleurs l'origine du piratage du site de la NBC en fvrier 2013,38 et de la distribution de spam suite aux attentats du marathon de Boston. En juillet 2013, il se trouvait en tte des kits les plus utiliss, constituant 42% des dtections ce mois-l. Tout comme les tlchargements passifs traditionnels, Redkit roriente les utilisateurs vers un site d'exploit. L'utilisateur passe tout d'abord par un autre serveur, lgitime mais pirat. Puis il est dirig vers une page d'accueil .htm ou .html pirate contenant un chier Java JAR malveillant (format galement utilis pour distribuer les applets Java).
La victime prsume que le contenu malveillant provient du serveur Web pirat utilis dans la deuxime tape de redirection, mais il est en fait stock ailleurs pour viter d'tre dtect. En effet, les serveurs Web excutent un utilitaire PHP reli une commande Redkit distante et un serveur de contrle. L'utilitaire met jour la liste des sites infects toutes les heures, rorienteles victimes vers les bons sites et veille ce que le contenu malveillant le plus rcent soit livr depuis sa source relle.39
Charges virales des kits d'exploits, juin 2013 : les kits d'exploits peuvent distribuer pratiquement n'importe quoi. Voici les charges les plus courantes Les kits d'exploits ont pour but de distribuer une multitude de charges virales: partir de juin 2013, les ransomwares et le botnet ZeroAccess taient les plus courants. Ransomware ZeroAccess Fareit Moure Shylock Zbot 29% 24% 7% 7% 5% 4% Karagany FakeAV Simda Dofoil Medfos Redyms 4% 4% 2% 2% 2% 2% Tobfy Tranwos Andromeda Autre 1% 1% 1% 5%
16
Redkit agit en tant que botnet pour contrler les serveurs Web qui interagissent avec plusieurs milliers d'utilisateurs. Comme ces serveurs tournent 24h/24 et 7j/7 et touchent autant d'utilisateurs, ils sont trs prcieux pour ceux qui souhaitent livrer des attaques par DDoS ou distribuer des volumes importants de malwares.
Mais Redkit n'est pas le seul exploit rcent qui cible les serveurs Web. Le kit Glazunov a t dtect chez des hbergeurs partout dans le monde. Le tableau en page 15 montre que celui-ci constituait 5,47% de toutes les dtections de kits d'exploit pendant le troisime trimestre 2013. Il est connu pour la distribution de ransomwares dangereux. Deux kits mergents, Sibhost et Flimkit, sont tellement similaires qu'ils proviennent probablement de la mme source.
Propagation mondiale de Zbot En 2013, la charge virale du kit d'exploit Zbot s'est rpandue aux Etats-Unis, en Europe et en Australie, constituant 31%des dtectionsamricaines, 23%des dtectionsen Grande-Bretagne,et 12%des dtectionsitaliennes. Systmes d'extrmit Etats-Unis Royaume-Uni Italie Allemagne Australie France Thailande Canada Pays-Bas Singapour Autres
Source: SophosLabs
2,322 1,749 884 693 365 188 156 144 135 84 795
Limitez ou supprimez Java sur le client. En 2013, de nombreux auteurs de botnets ou d'exploits se sont loigns de Flash et PDF pour se concentrer sur Java, qui possde un plus grand nombre de vulnrabilits. Dterminez donc si vous avez rellement besoin d'avoir Java sur vos clients. Rduisez la surface d'attaque en vitant ou en supprimant les plug-ins superus, comme par exemple les plugins WordPress que vous n'utilisez pas. Protgez vos identiants de connexion. Utilisez des mots de passe uniques, et assurez-vous d'avoir chang tous les mots de passe administrateur par dfaut.
17
18
Plugx, par exemple, repose sur l'usurpation d'applications sainessignes numriquement. Il exploite les vulnrabilits des DLL Windows, plaant la librairie malveillante ct de l'application. Quand l'application est excute, elle charge la DLL malveillante dans le chier courant plutt que dans la DLL saine situe dans le chier systme.41 Cette vulnrabilit est le rsultat d'une particularit de Windows. La modier causerait l'chec d'une multitude d'applications lgitimes.42 Il semblerait donc que nous devions composer avec cette vulnrabilit pendant encore longtemps. Un autre spcimen, Blame, cache son contenu malveillant au cur d'une DLL compose de plusieurs projets open source, dont l'encodeur MP3 LAME, qui sert de leurre en ajoutant sufsamment de code sain pour camouer le code malveillant.
Simbot, lui, est l'exemple classique du nouveau modle d'attaque dit "BYOT" (Bring your own Target, ou "apportez votre propre cible"). Il contient une application saine mais vulnrable, dmarre par une ligne de commande extrmement longue, menant l'excution d'un utilitaire malveillant qui dchiffre et charge la principale charge virale. Bien que l'exploitation d'applications vulnrables ne soit pas une tactique rcente, Simbot se diffrencie par le fait qu'il l'utilise chaque dmarrage sur des systmes dj infects pour garantir l'excution d'une application saine, et que le code malveillant soit uniquement excut via l'exploit. En utilisant sa propre application, Simbot ne dpend pas de l'application en cours d'installation sur le systme, et fonctionne mme si celle-ci a t corrige dans une version ultrieure. Cette approche permet Simbot de laisser trs peu de traces.
19
20
L'arrt des correctifs pour Windows XP affecte les points de vente et les appareils mdicaux A mesure que la vulnrabilit des systmes suscite de plus en plus d'inquitudes, l'attention se porte sur les autres catgories de priphriques qui excutent Windows. Certains de ces systmes excutent Windows XP ou des versions plus anciennes telles que Windows 2000. Mme les entreprises qui installent mticuleusement les correctifs ne pourront plus se protger. D'autres appareils excutent des versions plus rcentes de Windows, mais leurs propritaires ou fabricants ne fournissent pas de correctifs adquats. Les terminaux de paiement (POS) utilisent frquemment Windows pour grer toutes leurs transactions. Bien que la rglementation exige l'installation rapide des correctifs, certains appareils font l'objet de mises jour irrgulires, surtout dans les petits commerces qui ne bncient pas d'un support informatique sophistiqu.46 Bien des systmes de POS ont choisi Windows XP pour sa popularit et sa durabilit. Certains d'entre eux pourraient excuter une nouvelle version de Windows, mais selon l'expert en systmes de paiement Walter Conway, d'autres ont t conus spcialement pour Windows XP.47 Les risques sont donc biens rels. En dcembre 2012, Visa informait les commerants de l'existence de Dexter, un malware pour Windows conu spcialement pour s'attaquer aux terminaux de paiement. Celui-ci dtournait les donnes stockes sur les bandes magntiques et les envoyait vers un serveur de C&C.48 De graves problmes de scurit sont aussi apparus dans les appareils mdicaux. En juin 2013, aprs avoir fait l'objet d'une grande polmique, la Food and Drug Administration amricaine rvlait que de nombreux appareils mdicaux avaient t soit infects soit dsactivs par des malwares. Ceux-ci avaient dans certains cas accder aux donnes des patients, aux systmes de surveillance et avaient mme atteint des appareils ports par les patients.49
Ces problmes sont causs par le fait que de nombreux fabricants n'ont pas distribu les mises jour de scurit et les correctifs ncessaires aux plates-formes concernes. Mais comme dans le cas des terminaux de paiement, Microsoft ne peut pas tre tenu responsable du manque de srieux des fabricants, qui devraient s'engager certier la compatibilit de leurs appareils avec les derniers correctifs. Mais ds l'arrt des mises jour de scurit pour Windows XP, mme les fabricants avec des procdures de certication ables n'auront plus de correctifs Windows XP tester. Quelle est l'tendue relle du problme ? Selon la MIT Technology Review publie n 2012, les quipements mdicaux deviennent truffs de malwares.50 Au Beth Israel Deaconess Medical Center Boston, 664 appareils mdicaux fonctionnent sous des versions anciennes de Windows, que les fabricants refusent de modier et que l'hpital n'a pas l'autorisation de changermme pour ajouter des logiciels antivirus Ils sont donc souvent touchs par les malwares, tel point qu'un ou deux appareils par semaine doivent tre dconnects pour nettoyage. Pour terminer, signalons que Windows XP ne sera pas le seul produit phare de Microsoft perdre ses mises jour le 8 avril 2014. Ce sera aussi le cas de Microsoft Ofce 2003. Toujours en utilisation courante, Ofce 2003 tait la dernire version supporter les anciens formats de documents Microsoft, qui ne sont toujours pas considrs ables mme aprs trois service packs. Malheureusement, les utilisateurs de Vista et Windows 7, des systmes pourtant frquemment mis jour, courent le risque de rester vulnrables pendant les annes venir tant donn que Ofce 2003 est inclus dans ces systmes d'exploitation.
21
Le spam se rinvente
Encore une anne de spam. Le risque de scurit ne disparat jamais.
Les cybercriminels continueront proter des courriels tant qu'ils existeront. Certains messages de spam sont juste indsirables. D'autres sont connects des arnaques nancires que la plupart d'entre nous avons appris ignorer. D'autres, en revanche, sont trs dangereux. Certaines des tactiques favorites des spammeurs semblent tre l pour durer, telles que le spam-image (par ex. les tentatives de vendre des fausses Rolex) et le spam li l'actualit (par ex. l'attaque terroriste du marathon de Boston en avril 2013). D'autres formes de spam semblent tre cycliques. Elles deviennent passes de mode puis reviennent quelques annes plus tard. Par exemple, en 2013, nous avons assist au retour des arnaques de "pump-and-dump". Le retour des arnaques de "pump-and-dump" Le "pump-and-dump" consiste dissminer des fausses informations concernant une action en bourse qui serait prtendument sur le point d'augmenter. Les criminels protent ensuite du courant acheteur ainsi cr pour vendre leurs titres (achets bas prix) et en rcolter les bnces. Il y a quelques annes, il y avait des jours o plus de 50% des messages de spam dtects pouvaient tre attribus au "pump-and-dump". Mais ces messages furent presque entirement radiqus par une campagne de rpression de la Commission boursire amricaine. Dbut 2013, ces messages ont pourtant commenc rapparatre par -coups, reprsentant de 1 7% du spam entre le 17 et le 31 janvier, de 5 15% entre le 16 et le 20 fvrier, et de 5 20% au mois de mars. Puis ils se sont calms jusqu' la n du mois de juin, avant de revenir de plus belle : entre juillet et septembre, les volumes taient d'environ 10-20% par jour, avec des pointes occasionnelles allant jusqu' 50%.
22
Certains disent que l'on ne peut pas tre trop rond ou trop mince, et c'est vraisemblablement l'opinion des auteurs de la deuxime plus grande campagne de spam de l'anne : une arnaque portant sur un produit d'amaigrissement nomm "greencoffee". Ces messages imitent de vrais bulletins d'informations et citent des mdecins vus la tlvision tels que le Dr. Oz pour plus de crdibilit. Malheureusement, les utilisateurs qui se font piger sont dirigs vers des domaines qui ont pour seul but d'inciter l'action avant d'tre redirigs vers le site principal de l'arnaque. Serveurs distribus et spam "snowshoe" Les spameurs sont continuellement susceptibles de voir leur spambots et leurs serveurs de spams interrompus. Pour y remdier, ceux-ci cherchent activement couvrir leurs traces. En 2013, beaucoup de spammeurs ont utilis des techniques de "snowshoe", que nos ltres antispam sont heureusement capables de dtecter. Le terme "snowshoe" (en franais : raquette neige) fait allusion au fait que les spammeurs rpartissent leur charge sur une surface plus large pour l'empcher de s'enfoncer.
Les spammeurs qui emploient cette technique distribuent donc leurs messages vers de nombreux adresses IP, sites Web et sous-rseaux. Certains inondent une seule adresse IP avant de passer une autre adresse, souvent dans le mme secteur gographique. Ces stratgies tentent de contourner les systmes de dtection bass sur les gros volumes utiliss par les hbergeurs de messagerie, et protent des failles du CAN-SPAM Act de 2003, la loi anti-spam amricaine.51 Le spam snowshoe constitue une grande majorit des courriels indsirables dans les entreprises qui ne sont pas quipes d'un systme de ltrage able.
Juin 2013 : le spam en pice jointe, ou comment tlcharger une montagne d'ennuis En juin 2013, Fareit et Andromeda taient les deux principaux malwares distribus en pice jointe. Fareit (galement connu sous les noms Pony ou Ponik) tlcharge souvent Zeus en P2P, mais recueille galement des mots de passe stocks dans les logiciels de messagerie et les clients FTP. Andromeda tlcharge d'autres malwares tels que Zeus en P2P, des spambots et ZeroAccess, et parfois aussi ses propres modules an d'infecter les partages rseau et les priphriques portables. Fareit Andromeda Zbot Dofoil 52% 17% 12% 8% Donx Bublik Ransomware DnetBckdr 4% 3% 2% 1% DarkComet Banload 1% 1%
23
SophosLabs : comment garder une longueur d'avance sur les attaques les plus complexes de notre poque
A mesure que les attaques de malwares deviennent plus complexes et discrtes, les diteurs de scurit doivent faire preuve de plus d'intelligence, de exibilit et de rapidit. C'est prcisment ce que font les SophosLabs.
Autrefois, les diteurs de scurit dtectaient les malwares en identiant les signatures des logiciels malveillants. Les criminels pouvaient donc facilement viter la dtection en crant des attaques polymorphes qui gnraient des malwares uniques pour chaque ordinateur cibl. Certaines attaques polymorphes sont faciles viter. Le ltrage de la messagerie par exemple peut dans la majorit des cas bloquer les attaques distribues en pice jointe. Mais aujourd'hui, les attaques les plus dangereuses sont composes d'une multitude d'lments complexes rpartis sur l'intgralit du Web. Et comme ce rapport l'explique, les criminels adoptent dsormais des techniques puissantes pour rsister la dtection. La meilleure solution est de les contrer avec une protection multi-niveaux. Nous investissons beaucoup d'efforts dans la dtection et le blocage des sites qui hbergent des kits d'exploits et du contenu malveillant. Nous avons construit diffrents niveaux de dtection destins dtecter des composants spciques des kits d'exploits, tels que les redirections de JavaScript camou, les Java JARs pirats et les documents infects. Bien qu'aucun niveau ne puisse offrir une protection intgrale lui seul, ensemble, ils sont trs efcaces.
24
Nous dveloppons galement des protections encore plus robustes, bases entre autres sur la dtection selon le contexte, qui analyse simultanment les informations sur les chiers en cours de tlchargement et les sites d'o ils proviennent. Pris sparment, un chier ou une source ne sufsent pas diagnostiquer une menace. En revanche, l'association des deux informations peuvent rvler des comportements subtils associs des menaces connues, ce qui active notre logiciel sans risquer d'occasionner de faux positifs. Un dernier niveau de protection, la dtection en cours d'excution, couvre les rares ventualits o le malware russirait djouer les autres dfenses. Nous guettons les signes d'un malware en cours d'excution. Nous recherchons les comportements suspects des programmes. Nous comparons ces informations avec les rsultats d'analyses prcdentes du chier excutable en question. Par exemple, un chier qui avait veill de lgers soupons au tlchargement pourrait se comporter de manire encore plus suspecte par la suite. Ceci entranerait son blocage. Les nouvelles versions de notre appliance de scurit rseau utilisent les mmes techniques pour bloquer les priphriques qui montrent des signes d'infection, tels que les appareils agissant comme s'ils taient sous le contrle d'un botnet. Sophos UTM 9.2 inspecte les paquets rseau, identie les machines qui tentent de se connecter des domaines illicites, et reconnat les chiers de conguration malveillants transmis via HTTP depuis les botnets vers les machines infectes.
Comme les serveurs de C&C et les malwares voluent vitesse fulgurante, les produits Sophos distribuent des mises jour instantanes "in-the-cloud". Les SophosLabs traitent d'importantes quantits de donnes pour garder une longueur d'avance sur les cybercriminels. Nous recueillons tous les jours des milliards de donnes sur des ordinateurs aux quatre coins du globe. Notre infrastructure ultra-sophistique nous permet d'analyser ces donnes et d'identier les menaces mergentes dans les dlais les plus brefs, en corrlant toutes les donnes qui nous parviennent des machines et des serveurs protgs. Elle nous permet galement de dvelopper une meilleure protection en recueillant les chiers binaires, les URL et la tlmtrie. Pour ceux d'entre vous qui ont des connaissances techniques, notre infrastructure est base sur Hadoop. Ce logiciel open source s'inspire d'ides lances par Google et Yahoo, idales pour les entreprises telles que Facebook, Twitter, eBay, et Sophos, qui ont d'importantes quantits de donnes analyser rapidement.
25
26
Plus les diteurs de scurit progressent dans les niveaux de protection, la scurit des systmes d'exploitation et la sensibilisation des utilisateurs, plus les cybercriminels sont forcs de rentabiliser au maximum chacune de leurs oprations. Il est donc possible que les attaques futures soient composes de plusieurs lments et mthodes de distribution, conues pour cibler un public plus restreint. Les malwares adopteront en tous cas de plus en plus de particularits des APT en 2014. Les malwares pour Android, de plus en plus complexes, chercheront de nouvelles cibles En 2013, nous avons assist la croissance exponentielle des malwares pour Android, non seulement en termes de nombre de familles diffrentes et d'chantillons, mais aussi en termes de nombre d'appareils frapps sur l'ensemble du globe. Bien que les nouvelles fonctionnalits de scurit d'Android fassent progressivement rduire les taux d'infection, il faudra longtemps avant qu'elles ne soient adoptes unanimement, laissant de nombreux utilisateurs la merci des attaques d'ingnierie sociale. Les cybercriminels continueront explorer de nouvelles voies pour montiser les malwares pour Android. Bien que leurs options soient plus limites sur cette plate-forme que sur Windows, les appareils mobiles offrent l'avantage non ngligeable de pouvoir servir de base de lancement pour des attaques visant les rseaux sociaux et les plates-formes dans le Cloud. Pour rduire les risques d'infection, imposez donc une politique de BYOD ("bring your own device" ou "apportez votre propre priphrique") visant bloquer le chargement d'applications mobiles depuis des sources inconnues et imposer une protection antimalware. Les malwares se diversient et se spcialisent Les diffrents types de malwares caractre nancier retent la diversit des secteurs gographiques et des rgions conomiques d'o ils proviennent. Nous distinguons des techniques d'ingnierie sociale, des options de montisation des malwares et des objectifs diffrents selon les pays. Les malwares adapts des publics diffrents (par exemple le grand public et les entreprises) continueront crotre en 2014. Nous verrons vraisemblablement apparatre des attaques conues spcialement pour s'attaquer diffrents degrs de dfense ou de valeur cibles.
Les donnes personnelles en danger sur les applications mobiles et les rseaux sociaux La scurit des mobiles en gnral continuera faire couler de l'encre en 2014. L'adoption croissante de nouvelles applications de communication personnelles et professionnelles largit la surface d'attaque pour les arnaques bases sur l'ingnierie sociale et les tentatives d'exltration de donnes. Votre carnet d'adresses et votre graphique de connexions sociales sont prcieux aux yeux des cybercriminels en tous genres. Veillez donc les protger comme il se doit, grce au contrle des applications mobiles et Web pour les professionnels. Les cyberdfenses en ligne de mire Dans la lutte interminable entre cybercriminels et diteurs de scurit, nous nous attendons voir apparatre de nouvelles armes destines tester les derniers mcanismes de cyberdfense. Les services de rputation, les bases de donnes pour la scurit du Cloud, les listes blanches et les couches de sandboxing feront tous l'objet de nouvelles attaques. Il y aura plus de malwares comportant des signatures voles; de tentatives de compromettre les donnes de scurit, les analyses tlmtriques, la dtection en environnement sandbox et les techniques de contournement; et une utilisation plus rpandue d'outils lgitimes des ns malveillantes. Des malwares 64-bits Avec l'adoption croissante des systmes d'exploitation 64bits, nous nous attendons rencontrer plus de malwares destins exclusivement ces systmes.
27
Les kits d'exploits restent la principale menace pour Windows Bien que les rcentes amliorations du systme d'exploitation Windows placent la barre un peu plus haut pour les dveloppeurs d'exploits, Microsoft n'a pas encore gagn la guerre. Avec l'arrt de ses mises jour de scurit, Windows XP est en passe de devenir une cible de choix pour les cybercriminels. Quelles sont les chances que Windows 7 domine le panorama des systmes d'exploitation pendant aussi longtemps ? Combien de temps faudra-t-il pour que la majorit des machines passent des versions plus rcentes de Windows, dotes de meilleures fonctionnalits de scurit ? Bien que la distribution de menaces reposant sur une interaction avec l'utilisateur (ingnierie sociale) continue tre un vecteur important d'infection, les auteurs de malwares devront afner leurs techniques pour inciter leurs victimes excuter la charge malveillante, car les utilisateurs sont devenus plus habiles dans l'art de distinguer entre le malveillant et le bnin. Les criminels devront donc crer des leurres plus cibls et plus convaincants. Le matriel, l'infrastructure et les logiciels compromis la source Plusieurs vnements cette anne (comme les rvlations concernant l'espionnage men par le gouvernement et certaines entreprises, ainsi que l'existence de portes drobes) ont prouv que la vaste infrastructure sur laquelle nous oprons tous est non seulement susceptible d'tre compromise, mais quelle lest dj actuellement. Il sera donc essentiel de rvaluer les technologies et les entits auxquelles nous conons nos donnes.
Les dcouvertes de 2013 ne sont probablement que le sommet de l'iceberg, et il est possible que d'autres rvlations de ce genre fassent l'actualit en 2014. La plupart des entreprises n'ont pas la possibilit ou les ressources de rechercher des portes drobes : suivez donc de prs le travail des chercheurs en scurit et la presse spcialise pour plus d'informations. Le piratage se gnralise Nous utilisons de nos jours de plus en plus d'appareils diffrents, tous susceptibles de contenir des donnes professionnelles condentielles. Mais les technologies de scurit conues pour ces appareils ne sont pas aussi bien dveloppes que celles de l'environnement PC. Pour ceux qui souhaitent nous nuire, les priphriques intgrs dans les maisons, les bureaux et mme les villes, sont des cibles intressantes. Et les nouvelles monnaies et moyens de paiement lectroniques sont tout aussi attrayants que les cartes de crdit. Nous ne nous attendons pas des attaques importantes contre "l'Internet des objets" en 2014, mais nous prvoyons une augmentation des vulnrabilits et des exploits de type "preuve-de-concept".
28
En conclusion
Les crateurs de malwares, de kits d'exploits et de botnets ont fait preuve de plus d'efcacit et d'agressivit en 2013. Ils ont dvelopp de nouvelles formes d'attaques et de techniques de camouage, ont identi de nouvelles cibles et ont remis d'anciennes approches au got du jour.
Ces nouvelles attaques vont exiger plus d'intelligence de la part de tous pour s'en dfendre. Sophos travaille sans relche pour concevoir des mthodes de dtection plus sophistiques, livrant des mises jour en temps rel depuis le Cloud et permettant de protger tous les priphriques nouvelle gnration que vous, ou vos utilisateurs, choisissez d'adopter. Que vous soyez un professionnel de l'informatique, un entrepreneur ou un utilisateur individuel, il y a de grandes chances que vos connaissances en matire de scurit s'amliorent constamment. Veillez protger tous vos systmes quelle que soit la plate-forme utilise. Rduisez la surface d'attaque en supprimant les plates-formes telles que Java lorsque vous ne les utilisez pas. Installez systmatiquement tous les correctifs, car la plupart des attaques ciblent les anciennes vulnrabilits. Ne ngligez jamais le b.a.-ba de la scurit : utilisez des mots de passe solides, apprenez vos utilisateurs comment djouer les piges de l'ingnierie sociale, etc. La lutte contre les cybercriminels n'est pas prte de s'arrter, mais si vous restez vigilent, appliquez les meilleures pratiques en matire de scurit, faites un usage intelligent des technologies et vous armez du meilleur soutien, vous russirez protger votre entreprise. Chez Sophos, nous avons tout ce qu'il faut pour vous aider et restons votre entire disposition.
29
30
Copyright 2013. Sophos Ltd. Tous droits rservs. Sophos et Sophos Antivirus sont des marques dposes de Sophos Ltd.et Sophos Group. Tous les autres noms de produits et de socits mentionns sont des marques ou des marques dposes appartenant leurs propritaires respectifs. Les donnes contenues dans ce rapport sur la scurit sont titre d'information uniquement. Elles sont fournies par Sophos, les SophosLabs et Naked Security.sophos.com. Nous nous efforons de maintenir l'exactitude de ces informations au moment de leur publication, mais ne faisons aucune dclaration et ne donnons aucune garantie, quelle qu'elle soit, expresse ou implicite, quant l'intgralit, l'exactitude, la abilit, la pertinence ou la disponibilit des sites Web ou des informations, produits, services ou graphiques associs contenus dans ce document. La conance que vous accorderez ces informations est donc votre entire responsabilit. quipe commerciale France: Tl. : 01 34 34 80 00 Courriel : sales@sophos.fr
Oxford (Royaume-Uni) | Boston (tats-Unis) Copyright 2013. Sophos Ltd. Tous droits rservs. Immatricule en Angleterre et au Pays de Galles No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, United Kingdom. Tous les autres noms de produits et de socits mentionns sont des marques ou des marques dposes appartenant leurs propritaires respectifs. 1091-11.13DD.fr.simple