Bilan sécurité 2006 : Analyse des tendances de la cyber-criminalité

En cette fin d'année, plusieurs sociétés dressent un bilan et émettent des prévisions dans le domaine de la sécurité informatique. L'institut du SANS (SysAdmin, Audit, Network, Security) propose notamment un aperçu des points les plus critiques rencontrés en 2006. Ils sont présentés en 20 catégories qui caractérisent les trous de sécurité majeurs. Cet article permet au lecteur d'établir un bilan de son système d'information. Voici un résumé l'article "Top-20 Internet Security Attack Targets " du SANS, complété par nos conseils et par, selon nous, les tendances actuelles et futures de la cybercriminalité.

Système d'exploitation

Microsoft

La sécurité informatique se développe considérablement. Les pirates sont là pour nous rappeler dans quel monde virtuel et insécurisé nous vivons. Les systèmes d'exploitation continuent donc d'être la cible d'attaques en tout genre. Windows, utilisé à travers le monde par des milliers d'entreprises et des millions de particuliers, demeure le vecteur d'attaque le plus vulnérable. En 2004, 45 failles ont été corrigées. L'année 2005 est restée dans cette continuité avec 55 vulnérabilités découvertes. 2006 n'a pas dérogé à cette règle. 78 correctifs pour les machines Windows ont liés. Comment interpréter ce résultat ? Il est intéressant de se demander quels moyens Microsoft met vraiment pour sécuriser au mieux ses systèmes d'exploitation… Les développeurs de Windows se soucient-ils de la sécurité ?

Les pirates sont-ils plus nombreux? Est-ce que ceux-là intensifient la recherche et l'exploitation de vulnérabilités ? Les réponses sont difficiles à donner. En effet, bien que Windows reste la cible privilégiée des pirates, d'autres systèmes font également les frais de cette tendance plutôt inquiétante.

Apple

Apple qui rencontre un réel succès avec le développement considérable de son système d'exploitation MAC OS X, est également touché par des failles de sécurités importantes. Souvent considéré comme l'un des systèmes les plus robustes, le petit protégé d' Apple a connu une année relativement âpre. En effet, plusieurs problèmes majeurs ont été dévoilés et près d'une vingtaine de failles majeures ont été corrigées. Safari, les pilotes Wifi ou encore ImageIO ont fait l'objet de mises à jour.

Parallèlement, deux consultants ont démontré comment un poste équipé de cet OS pouvait être compromis à distance avec une connexion Wifi (voir notre article sur la BlackHat 2006). Bien que cette présentation fut controversée, il est clair que la communauté underground voit en cet OS, un vecteur d'attaque intéressant. En outre, l'augmentation significative des ventes a sans aucun doute mis au premier plan cet OS qui est de plus en plus utilisé par les particuliers comme par les professionnels (en particulier dans le domaine de la création).

Enfin, le premier virus ciblant Mac OS X a été développé et diffusé au début de l' année. Nommé "OSX/Leap.A" , il a été suivi par d'autres preuves de concept qui remettent en cause la sécurité de cet OS. Bien que les pirates préfèrent cibler les failles Windows, la parution d'exploits pour Mac OS X est en hausse. Cette tendance prédit une année 2007 dense sur le plan de la sécurité.

Linux

Les systèmes d'exploitation Linux/Unix sont toujours épargnés par les virus ou par d'autres attaques. De nombreuses vulnérabilités sont identifiées, chaque semaine, dans les paquets des différentes distributions mais peu d'exploits sont diffusés.

Le futur

Les systèmes d'exploitation resteront la cible prioritaire des pirates. Les OS offrent une porte d'accès immédiate à l'attaquant. Chaque mois plusieurs failles critiques ainsi que des exploits associés sont publiés. Leurs impacts peuvent être restreints si les utilisateurs respectent des règles de sécurité essentielles (applications des correctifs, exécutions des documents dont les sources sont avérées légitimes…).

Windows toujours aussi vulnérable

Revenons à Windows qui n'a jamais autant souffert de problèmes de sécurité que pendant cette année 2006. Comme nous le disions, 78 failles, dont la plupart sont jugée critiques par Microsoft, ont été corrigées. Quatre domaines distincts sont dits “sensibles” et sont privilégiés par les attaquants.

Internet Explorer

Comme chaque année, le navigateur de Microsoft est le vecteur d'attaque le plus connu et le plus utilisé du monde. En effet, Internet Explorer a été touché par 5 mises à jour cumulatives majeures et 6 failles jugées critiques par l'éditeur. La plupart de ces vulnérabilités ont rapidement été exploitées par des programmes malicieux dans le but de compromettre un système ou d'installer des logiciels espions tiers. Plusieurs sites pirates ont vu le jour et tentent de piéger les utilisateurs qui ne mettent pas à jour leurs machines. Les pirates comprennent les enjeux liés à ce navigateur et recherchent activement tous les moyens d'exploitation imaginables. Les contrôles Active X seulement exploitables sur IE ont d'ailleurs été à la base de certaines des vulnérabilités rencontrées.

Les librairies Windows

Les librairies Windows sont des modules qui contiennent des fonctions et des données utilisées par les applications Windows. Ces fichiers DLL (dynamic-link librairy)ou OCX sont souvent utilisés pour traiter les fichiers HTML, décoder les formats d'images ou gérer certains protocoles. Une simple vulnérabilité au sein de tels fichiers peut avoir des conséquences sur plusieurs applications et laisser ainsi aux pirates plusieurs pistes d'exploitation. Durant cette année, plusieurs librairies ont été concernées par des failles "0 day " et des exploits ont été publiés bien avant la parution des correctifs.
Un nombre incalculable de versions d'images Windows Metafile (WMF) ont vu le jour en décembre 2005. Ce problème de sécurité a été largement exploité par des vers et par l'envoi massif d' e-mails contenant des fichiers malicieux. Plus récemment, la librairie "daxctle.ocx " a aussi été vulnérable face au débordement de tampon. Cette fois-ci, il suffisait au pirate d'inciter sa victime à visiter un site web contrôlé par ce même. Les vecteurs d'attaques sont donc nombreux : images, icônes, page web…

Microsoft Office

Les pirates ont toujours ciblé les applications les plus utilisées par les particuliers et les entreprises. MS Office arrive en tête des logiciels d'entreprise et est, de ce fait, souvent touché par des vulnérabilités. Cette année, chacun des composants Word, Excel et Power Point a connu des problèmes. La plupart des vulnérabilités identifiées ont par la suite été exploitées par des exploits "0-day ". La plupart des utilisateurs ignorent que leur système peut être mis en danger par la simple ouverture d'un document Word contrefait. Ainsi les attaquants profitent de cette naïveté pour insérer du code malicieux et envoyer, en masse, un document Office par e-mail. A l'heure où nous écrivons cet article, deux nouvelles failles de sécurité viennent d'être identifiées. Un troyen nommé Troj/DwnLdr-FXG" ou "Troj/DwnLdr-FXH" est déjà à l'origine de la compromission de nombreuses machines. Microsoft ne corrige qu'une fois par mois les vulnérabilités, chacune d'entre elle est donc, pendant un laps de temps (<= 1 mois), exploitable.

Les services Windows

Les systèmes d'exploitation Windows fournissent de nombreux services qui sont également touchés par des attaques en tout genre. Les services réseaux étant implémentés par défaut, la plupart des vulnérabilités peut être exploitée par un virus ou un ver. Les failles de sécurité les plus critiques ont touché les services "server ", "irouting ", "remote access " et "exchange ". Un exploit a suivi la publication du correctif MS06-040. La criticité de ces failles est amoindrie par le développement de routeurs qui limitent les risques chez les particuliers.

Les applications web

Les applications web sont devenues un autre terrain de jeux pour les pirates. En effet, le développement des sites personnels et des blogs ont ouvert des portes.
Le langage PHP a permis aux développeurs de créer un grand nombre de forums prêts à l'emploi : PHPBB, PHPpun…
Chaque semaine, des dizaines de vulnérabilités sont publiées pour ces applications web. L'augmentation de ce type de sites peu sécurisés a permis aux pirates d'utiliser à loisir les techniques de hacking connues.

Bien que les techniques de piratage évoluent peu (injection SQL, Cross Site Scripting, Directory Transversal), un nouveau fléau a envahi la Toile. Depuis le début de l'année, le Phishing s'est développé en ciblant particulièrement les banques en ligne et les sites d'assurances.
De véritables bandes organisées créent chaque jour des sites web aux couleurs des sites légitimes. Ils envoient des e-mails dans le but de piéger le plus grand nombre d' internautes.
Les éditeurs essayent tant bien que mal d' implémenter,au sein de navigateurs, des solutions anti-phishing mais le problème demeure d'actualité.
La VoIP est devenu également une des méthodes pour piéger les utilisateurs. Plusieurs attaques de VoIP Phishing ont été identifiées cette année. Le principe est le même sauf qu'un numéro est inséré dans l'e-mail. Les pirates essayent ainsi d'inciter les victimes à appeler le numéro afin de voler des données sensibles.

2007 : vidéos et téléphonie mobile

Les téléphones mobiles

les premières preuves de concept pour les téléphones mobiles émergeaient. Aujourd'hui, les mobiles intelligents (équipés d'un système d'exploitation) inondent le marché. Le développement des services 3G et Imode a poussé les fabricants à proposer de plus en plus de fonctionnalités sur leurs téléphones. Un nouveau vecteur d'attaque est donc né. Les applications malveillantes fleurissent et le vol de données personnelles est au centre de toutes les préoccupations. Les pirates essayent d'exploiter cette nouvelle voie et développent leurs logiciels malveillants.

Ces derniers sont capables d'entraîner la suppression, la corruption ou la modification de données mais encore la divulgation d'informations, la surfacturation voire l'espionnage des appels.
D'autres applications sont créées dans le seul but de planter un téléphone. Il est fortement probable que ce domaine devienne l'une des cibles majeures de l'année à venir.

Les vidéos cachent des malwares

Une autre nouveauté est apparue à la fin de cette année. Elle concerne les vidéos malicieuses. Plusieurs failles ont été découvertes au sein du logiciel Quicktime. Elles permettent d'insérer un lien vers un site pirate. Un ver s'est même propagé via des profils du site d'échange «Myspace ". L'injection de code au sein de ces vidéos est donc à prévoir. Le développement des réseaux P2P, principalement utilisés pour le téléchargement de média vidéos, ainsi que les sites de "Video on Demand " comme youtube.com ou dailymotion.com seront sans aucun doute les prochains lieux de dépôts de ces fichiers contrefaits.

Bilan

Il serait souhaitable de voir naître en 2007 de nouveaux comportements. En effet, les attaques de systèmes et d'applicatifs ne sont pas nouvelles et en évoluant subrepticement , elles n'incitent pas l'utilisateur à changer ses habitudes face nouvelles menaces. Pourtant, en surveillant un peu l'activité sécurité et en appliquant régulièrement les correctifs, ce vecteur d'attaque resterait restraint.
Il est donc crucial que les entreprises et les particuliers prennent véritablement conscience de l'ampleur de l'arrivée des malwares cachés sous forme de simple vidéo ou bien dissimulés dans des téléphones mobiles.
La méfiance doit donc être de rigueur. Le vol de données personnelles sensibles n'est plus un mythe et touche de plus en plus de personnes. E-mail, messagerie instantanée, site web, vidéos, MMS, Bluetooth, peu de technologies sont maintenant épargnées par la cybercriminalité.