Rapport de X-Force à mi-2008
Date : 04 Septembre 2008
IBM Internet Security Systems - X-Force vient de publier un rapport permettant de dégager un certain nombre de nouvelles tendances pour le premier semestre 2008. Le présent article vous présente un résumé de ce rapport, autour de trois axes : les vulnérabilités, le spam (et le phishing), et enfin les malwares.
Le premier constat concernant les vulnérabilités est que leur nombre est en constante augmentation, ainsi que leur niveau de criticité. Ces vulnérabilités ne visent plus tellement les systèmes d’exploitation mais surtout les navigateurs web, les applications multimédia ou les lecteurs de documents (Office et Adobe notamment). Ce point est confirmé par l’apparition de nouveaux noms dans le Top 10 des éditeurs les plus touchés par des vulnérabilités, à savoir Joomla!, WordPress et Drupal (tous les trois écrits en PHP). En revanche, les trois éditeurs les plus visés par la publication de programme de démonstration sont Microsoft, HP et Apple.
Concernant l’origine des découvertes, 16% sont faites de manière anonyme, le reste est dû soit aux organismes officiels (environ 30%), soit à des chercheurs indépendants (70%).
Vulnérabilités des applications webCe début d’année a permis de confirmer la hausse marquée des vulnérabilités des serveurs web (voir à ce sujet le hub de crise intitulé "Infections massives de sites web"), ces dernières représentant à présent 51% des failles découvertes. Les techniques utilisées pour ces attaques ont sensiblement évolué depuis 2006. Si les attaques de type "Cross-Site Scripting" se maintiennent, les attaques par injection SQL se sont fortement développées au détriment des attaques de type "file include".
Vulnérabilités des navigateurs webDu côté des navigateurs également, la hausse est flagrante avec moins de 5% de vulnérabilités disposant d'un programme d’exploitation public en 2004, contre environ 30% au premier semestre 2008. La vitesse à laquelle ces programmes d’exploitation sont publiés a, elle aussi, considérablement augmenté : aujourd’hui, plus de 80% des programmes d’exploitation sont publiés le jour même de la publication de la faille (voire avant), ce qui constitue une hausse de 70% par rapport à l’an passé. Ceci concerne tout particulièrement les failles des navigateurs. On notera que les chercheurs ne se contentent plus de rechercher des failles dans le navigateur lui-même, mais également dans ses plug-ins (51% des vulnérabilités des navigateurs touchent les plug-ins et 78% des programmes d’exploitation publiées pour les navigateurs sont celles des plug-ins).
Vulnérabilités des technologies de virtualisationCes technologies sont victimes de leur succès et ont fait l’engouement des chercheurs en sécurité. Depuis 2006, le nombre des vulnérabilités découvertes dans ces outils n’a cessé de croître, ainsi que leur complexité.
Amorcé fin 2007, le recul des spams "complexes" (basés sur des images, des images animées, des documents PDF, générateurs de texte, etc...) s’est confirmé. Les techniques de spam ont repris un schéma plus simple : un e-mail au format texte contenant une URL malicieuse. L’intérêt pour les spammeurs est de déjouer à la fois la méfiance des utilisateurs (en utilisant des noms de domaine de confiance) et le contrôle des logiciels anti-spam. Cette tendance est également confirmée par l’éditeur d’anti-virus Sophos dans son rapport biannuel.
Pour ce qui est du phishing, même si le nombre total de messages de spam de phishing a augmenté, le pourcentage de messages de spam de phishing a diminué de 0,4% au cours du deuxième trimestre 2008. Cela signifie tout simplement que le volume de spam augmente plus rapidement que le volume de phishing.
3/ Les malwares
Au cours de ce premier semestre 2008, figure en tête du Top 10 des malwares, une famille de voleur de mots de passe visant les jeux en ligne. D'ailleurs , dans la catégorie des voleurs de mots de passe, 50% des codes malveillants affectent les jeux.
Une dernière section de ce document est consacrée au "Top Behaviors" des codes malveillants. L’action la plus commune consiste à déposer un fichier dans le répertoire "Windows/System". Vient ensuite l’installation d’un service avec les modifications de registre associées afin que ce dernier soit exécuté à chaque redémarrage. Une autre technique fréquemment citée est l’utilisation du champ "Hide" des fichiers afin de masquer les fichiers déposés par le malware. D’autres techniques closent ce "Top Behaviors", parmi lesquelles l’injection de code dans des processus de confiance, la désactivation des logiciels de sécurité, le téléchargement de fichiers et l’installation de codes de surveillance.
Les tendances de ce premier semestre 2008 permettent de dresser un premier bilan à mi-année. Elles soulignent en outre la problématique de la publication de plus en plus rapide des programmes d’exploitation : il s’écoule aujourd’hui très peu de temps entre le moment où une faille est découverte et où celle-ci commence à être exploitée. La récente faille DNS en est un exemple frappant.
- IBM Internet Security Systems – X-Force 2008 mid-year trend statistics : http://www-935.ibm.com/services/us/iss/xforce/midyearreport/xforce-midyear-report-2008.pdf
- Document de Sophos "Security threat report update" : http://www.sophos.com/sophos/docs/eng/papers/sophos-security-report-jul08-srna.pdf
- Article de vnunet : http://www.vnunet.fr/news/150_milliards_de_spams_par_jour