Voici une démonstration rapide par Vikram Takhur, Chercheur en sécurité Symantec, pour NBC :

Ceci est réalisé par un professionnel, ne pas tenter de reproduire à la maison, il y en a qui ont essayé, ils ont eu des problèmes !

Symantec publie aujourd’hui la 18^ème édition de son rapport ISTR (Internet Security Threat Report), qui analyse l’ensemble des menaces de sécurité sur Internet observées et donc les tendances en matière de cybercriminalité sur l’année 2012.

Augmentation du cyber-espionnage et multiplication par trois des attaques ciblant les PME

•  Les attaques ciblées augmentent de 42 % dans le monde,

• les cybercriminels ciblent les PME et les sous-traitants pour atteindre les grandes entreprises les consommateurs sont vulnérables aux attaques mobiles, en particulier sur Android, ainsi qu’aux « rancongiciels ».

• La France gagne une place et se classe au 16^ème rang mondial des pays les plus actifs en matière de cybercriminalité

Les résultats de cette étude révèlent une augmentation de 42 % du nombre d’attaques ciblées en 2012 dans le monde, comparé à l’année précédente. Conçues pour le vol de propriété intellectuelle, ces attaques de cyber-espionnage touchent de plus de plus le secteur industriel, ainsi que les PME, qui sont la cible de 31 % de ces attaques. Les PME constituent des cibles de premier choix et sont, au final, une façon d’atteindre les grandes entreprises en utilisant la technique du « trou d’eau » ou watering hole. En outre, les particuliers demeurent vulnérables au « rançongiciels » et aux menaces sur mobile, particulièrement sur la plateforme Android.

Les principales conclusions de la 18^ème édition du rapport ISTR :

La France avance d’un cran parmi les pays les plus actifs en matière de cybercriminalité

La France se classe au 16^ème rang mondial des pays où la cybercriminalité est la plus active, en progression d’une place par rapport à 2011, et elle se positionne au 8^ème rang européen. Le phishing s’impose comme la première menace dans l’Hexagone, puisque qu’il est le 7^ème pays le plus touché et le 3^ème en Europe, derrière l’Allemagne et le Royaume-Uni. Le pays voit également progresser le développement de codes malveillant, gagnant 2 places au classement mondial. Le territoire français s’illustre également en tant que source d’attaques contre les réseaux, au 10^ème rang mondial et au 5^ème européen. Autre fait marquant à noter : le fort recul du spam, puisque la France se place 42^ème dans le monde et 17^ème en Europe dans ce domaine.

Les PME représentent le chemin d’accès le moins résistant

Les attaques ciblées contre les entreprises de moins de 250 salariés croissent le plus vite : les PME étaient en effet  la cible de 31 % de ce type d’attaques en 2012, contre 18 % en 2011, une augmentation par trois par rapport à 2011. Les PME s’estiment souvent à l’abri des attaques ciblées, mais les cybercriminels sont attirés par leurs coordonnées bancaires, leurs données commerciales et leur propriété intellectuelle. Les attaquants s’en prennent aux PME dont l’infrastructure et les pratiques de sécurité sont souvent inadéquates.

Les attaques Internet ont augmenté de 30 % en 2012, la plupart provenant de sites Web de PME compromis. Ces sites sont ensuite utilisés dans des cyberattaques à grande échelle et des attaques de type « trou d’eau » ou  watering hole. Pour ce type de menace, l’attaquant infecte un site Web, tel qu’un blog ou le site d’une PME, fréquemment visité par la victime ciblée. Lorsque la victime se connecte ensuite au site infecté, un dispositif d’attaque ciblée est installé à son insu sur son ordinateur. Le groupe Elderwood a été identifié par Symantec comme pionnier de ce type d’attaque : en 2012, il a infecté pas moins de 500 entreprises en une seule journée. Dans ces scénarios, l’attaquant s’appuie sur la faiblesse d’une entreprise en matière de sécurité pour contourner la protection potentiellement plus développée d’une autre entreprise.

Le secteur industriel et les fonctions liées au capital informationnel de l’entreprise dans le viseur des cybercriminels 

Les entreprises industrielles sont en tête des organisations ciblées par les attaques en 2012, devant les institutions gouvernementales. Selon Symantec, les cybercriminels visent de plus en plus les chaines logistiques et les écosystèmes de sous-traitants pour accéder aux informations sensibles des grandes entreprises et à une propriété intellectuelle à forte valeur. Par ailleurs, les dirigeants ne sont plus les premiers touchés. En 2012, les cibles les plus fréquentes étaient les employés liées au capital informationnel des entreprises (27 %), qui ont donc accès à la propriété intellectuelle, ainsi que les forces commerciales (24 %).

Les maliciels sur mobile et les sites Web malveillants exposent les particuliers et les entreprises à des risques

L’année dernière, les maliciels sur mobile ont augmenté de 58 %, et 32 % des attaques mobiles ont pour objectifs de collecter des données telles que des adresses électroniques et des numéros de téléphone. Fait surprenant, ces augmentations ne sont pas nécessairement imputables à la hausse de 30 % des vulnérabilités mobiles. Alors que l’iOS d’Apple présentait les vulnérabilités les plus documentées, une seule menace associée à ce système d’exploitation a été découverte au cours de la même période. En revanche, Android présentait moins de vulnérabilités, mais le nombre de menaces associées est supérieur à celui de tout autre système d’exploitation mobile. La part de marché d’Android, sa plate-forme ouverte et les nombreuses méthodes de distribution d’applications malveillantes qui existent en font une plate-forme de choix pour les attaquants.

En outre, 61 % des sites Web malveillants sont en fait des sites légitimes qui ont été infectés par un maliciel. Les sites Web d’entreprise, technologiques et de commerce électronique figurent parmi les cinq principaux types de site hébergeant des infections. Symantec attribue ce problème aux vulnérabilités non corrigées sur les sites Web légitimes. Au cours des dernières années, ces sites ont été souvent ciblés pour vendre un faux antivirus à des consommateurs non avertis. Cependant, le rançongiciel, une méthode d’attaque particulièrement nuisible, devient le maliciel de choix en raison de sa forte rentabilité pour les attaquants. Dans ce scénario, les attaquants utilisent des sites Web infectés pour piéger des utilisateurs non avertis, verrouiller leur ordinateur et leur demander de l’argent pour le déverrouiller. Autre source croissante d’infections via les sites Internet : l’achat, par les cybercriminels, d’espaces publicitaires en ligne qu’ils utilisent pour dissimuler des programmes malveillants.

Ressources graphiques et video:

• Vidéo ISTR
• Podcast ISTR
• Webcast ISTR
• SlideShare de la 18^ème édition de l’ISTR
• Infographie : 2012 en chiffres
• Infographie : attaques en fonction de la taille des entreprises ciblées
• Infographie : attaques de type « watering hole »
• Infographie : PME
• Infographie : fait ou fiction ?

Ressources

• Internet Security Threat Report 2013
• Dossier de presse : Internet Security Threat Report 2013
• Informations dévoilées : 18^ème édition du Internet Security Threat Report
• Menace Intel : le rapport ISTR 2013 montre le changement de tactiques des cybercriminels
• La confiance des PME mise à mal : elles ne sont plus invisibles des « méchants »
• Questions à Marian : casser les mythes de la cybercriminalité

À propos du rapport Symantec Internet Security Threat Report

Le rapport Internet Security Threat Report de Symantec offre un aperçu et une analyse des menaces observée sur une année au niveau mondial. Il repose sur les données issues du Global Intelligence Network, que les analystes de Symantec utilisent pour identifier, analyser et commenter les dernières tendances en matière d’attaques Internet, de diffusion de programmes malveillants, de phishing et de courrier indésirable.

Un retour illustré sur 2012, en attendant l’Internet Security Threat Report – volume 18, qui arrive très bientôt !

Les détails sur ces attaques sont disponibles ici.

En 2010, Symantec a révélé l’existence d’un maliciel particulièrement sophistiqué, dénommé STUXNET, premier logiciel utilisé comme “cyber-arme” visant un “cyber-sabotage“. Son but était très spécifiquement de prendre le contrôle de machines industrielles, de les faire opérer de manière détournée et ainsi causer des dommages lors des processus de fabrication.

En terme de cyber-menaces, il y a bien un AVANT et un APRES Stuxnet !

Mais certains indices dans le code amenaient à penser que d’autres versions du maliciel existaient, pouvant potentiellement avoir d’autres impacts. Ceci laissait des questions ouvertes sur Stuxnet et son émergence…

La recherche du chaînon manquant est maintenant terminée. Symantec a découvert une version plus ancienne de Stuxnet qui permet de répondre aux questions concernant son évolution.

Cette nouvelle variante a été disséquée et analysée en détail et en voici quelques points clés :

• Stuxnet 0.5 est la plus ancienne version connue de Stuxnet à avoir été analysée, en circulation depuis novembre 2007, mais en développement depuis novembre 2005.
• Il est en partie basé sur la plateforme « FLAMER »
• Il exploite une seule vulnerabilités zero-day contre 7 pour la version 1.001.
• Stuxnet 0.5 était moins agressif que les versions 1.x et se propageait uniquement à travers des projets STEP7 infectés, incluant les clefs USB.
• Stuxnet 0.5 utilise une stratégie d’attaque alternative : la fermeture des valves qui alimentent en gaz hexafluorure d’uranium les centrifugeuses utilisées pour l’enrichissement de l’uranium; une attaque de ce type a pour but d’endommager sérieusement les centrifugeuses concernées et le système d’enrichissement de l’uranium dans son ensemble.
• Des séquences du bon fonctionnement des systèmes étaient enregistrées sur les instruments de mesure, puis “rejouées” lors des perturbations, pour dissimuler l’opération en cours.
• Sa « fin de vie » était programmée au 4 juillet 2009.

Résumé de la stratégie :

Malgré l’âge de la menace, les sondes Symantec ont détecté un petit nombre d’infections « dormantes » , moins de 50, dans une vingtaine d’organisations, dont voici la distribution géographique sur l’année dernière :

Mais le niveau de « succès » de Stuxnet 0.5 reste flou. Les versions ultérieures ont bénéficié d’un cadre de développement différent, plus agressif, employant une autre stratégie d’attaque (modification de la vitesse de rotation des centrifugeuses), suggérant ainsi que la version 0.5 n’avait pas pleinement atteint les objectifs des attaquants.

La figure suivante présente l’impact des différentes versions de Stuxnet sur l’enrichissement de l’uranium à Natanz.

Toutes les informations sur les aspects clés de Stuxnet 0.5 (articles, video, …) sont disponibles ici :

• Stuxnet 0.5: The Missing Link
• Stuxnet 0.5: How it Evolved
• Stuxnet 0.5: Command and Control Capabilities
• Video: Stuxnet Timeline and Attack Strategy

Pour les details plus techniques, un “white paper” est disponible : Stuxnet 0.5 : the missing link

Symantec tient à remercier l’ISIS (Institute for Science and International Security) pour sonleur aide dans la compréhension des systèmes d’enrichissement de l’uranium.

Anthony E. Zuiker, le créateur visionnaire de la franchise Les Experts, et son studio de production Dare to Pass, soutenus par la société Dolphin Digital Media, annoncent la date de diffusion mondiale de Cybergeddon, le nouveau blockbuster digital sur la cybercriminalité avec dans les rôles principaux Olivier Martinez et Missy Peregrym.

Cybergeddon raconte l’histoire de Chloe Jocelyn, un agent chargé d’enquêter sur une série de cyber-attaques apparemment sans lien, et de son coéquipier Frank Parker. Tous deux sont épaulés par Chase Rosen, dit «Rabbit», un virtuose du hacking placé derrière les barreaux. Chloe et son équipe ont pour mission de démanteler, avant qu’il ne soit trop tard, le réseau mondial de cybercriminels dirigé par Gustov Dobreff. Dans un monde où nous sommes tous connectés par le Web, tout le monde court un risque…

Le film Cybergeddon sera diffusé exclusivement dans 25 pays et 10 langues dans une suite de 9 épisodes – 3 épisodes par jour les 25, 26 et 27 septembre.

Pour la bande annonce en français, just push the button !

En France, Cybergeddon sera diffusé sur Yahoo! Cinéma le 25 septembre et la chaîne proposera, en plus des épisodes du film, des scènes inédites retraçant le passé des personnages, des photos exclusives du tournage, des vidéos des coulisses ainsi que des interviews des acteurs et de l’équipe de réalisation. Un dossier spécial sera également consacré à la sensibilisation du grand public à la cybercriminalité.

Anthony E. Zuiker, Bill O’Dowd, PDG des studios Dolphin Digital, et l’équipe de réalisation se sont employés à rendre l’intrigue de Cybergeddon la plus réaliste possible. L’équipe d’Anthony E. Zuiker s’est ainsi associée avec les experts en criminalité chez Norton by Symantec tout au long du processus créatif afin de bénéficier de leur expertise et d’assurer la crédibilité et la cohérence technique du scénario au service de la pédagogie.

« Cybergeddon est une expérience cinématographique qui brise les règles du cinéma traditionnel », affirme Anthony E. Zuiker. « Grâce à Yahoo!, nous allons offrir aux spectateurs la possibilité d’aller plus loin ! Après avoir visionné les neuf épisodes, ils pourront en savoir davantage tout en étant immergés dans l’histoire et la vie des personnages. »

L’équipe :

• Réalisateur: Diego Velasco (La Hora Cero)
• Scénariste: Miles Chapman (The Tomb)
• Producteurs exécutifs: Anthony E. Zuiker, Matthew Weinberg (Président, Dare to Pass) et Bill O’Dowd, (PDG, Dolphin Digital Studios)
• Olivier Martinez (Infidèle) dans le rôle de Gustov Dobreff
• Missy Peregrym (Rookie Blue) dans le rôle de Chloe Jocelyn
• Manny Montana (Breakout Kings) dans le rôle de Franck Parker
• Kick Gurry (Speed Racer) dans le rôle de Chase ‘Rabbit’ Rosen

Soit 2.887 applications malveillantes sur les 2.047.804 disponibles, d’après le projet SymDroid (voir plus bas…).

Cela peut paraître faible (quoique…) mais cela reste un chiffre à surveiller car en croissance constante. Voici d’ailleurs les statistiques concernant les maliciels ANDROID sur une année :

Il est possible de “creuser” dans ces données (nouvelles applications par mois, par catégorie, niveau de risque…) en utilisant le widget suivant (cliquer sur l’image) :

Par exemple, 88.000 nouvelles applications en février 2011, contre 822.000 en juillet 2012.

Et pour mémoire, le projet SymDroid, c'est ça :

L’équipe de chercheurs du Security Response de Symantec procède à l’analyse d’une menace aussi sophistiquée et discrète que l’étaient Stuxnet et Duqu : W32.Flamer.

Cette analyse a jusqu’à présent révélé que le maliciel a été conçu dans le but d’obtenir des informations de la part des systèmes infectés, qui se trouvent principalement au Moyen-Orient. Comme pour Stuxnet et Duqu, le code de cette nouvelle menace n’a pas été écrit par un individu isolé mais par un groupe de spécialistes organisé, financé et dirigé. Le code comporte de multiples références à la chaîne de caractères « FLAME », ce qui peut donner une indication soit sur les instances d’attaque via différentes parties du code, soit sur le nom du projet  de développement du maliciel.

Ce maliciel, particulièrement discret, est en activité depuis au moins 2 ans et a la capacité de voler des documents, faire des copies-écran des utilisateurs de la machine infectée, de se propager via les disques connectés en USB, de désactiver les solutions des éditeurs de sécurité et, sous certaines conditions, se développer sur d’autres systèmes. Cette menace a également la capacité d’utiliser plusieurs vulnérabilités connues et corrigées de Microsoft Windows pour se propager sur un réseau.

Les premières analyses de localisation montrent que Flamer se trouvent principalement en Cisjordanie, en Hongrie, en Iran et au Liban. D’autres cibles se  trouvent en Russie, en Autriche, à Hong Kong et aux Emirats Arabes Unis. Les secteurs d’activité des individus ciblés sont pour le moment indéterminés. Cependant, les premières analyses du maliciel montrent que les victimes n’ont pas toutes été ciblées pour la même raison. Nombre d’entre elles semblent être ciblées pour leurs activités personnelles plutôt que pour celles de la société qui les emploie. Il également intéressant de noter que, au-delà de sociétés spécifiques ciblées, de nombreux systèmes attaqués sont des ordinateurs utilisés à domicile et connectés à Internet.

Le récent rapport de Symantec sur les menaces de sécurité sur Internet (ISTR 17) publié début mai montrait que le nombre d’attaques ciblées était passé de 77 à 82 attaques par jour en 2011, et indiquait que ces attaques ciblées continueraient d’être une réelle menace de par leur fréquence et leur sophistication croissantes.

Les recherches et l’analyse de Flamer sont en cours et de nouveaux détails techniques sur le code ainsi que sur l’attaque même seront publiés prochainement.

Plus de détails sur le blog de SECURITY RESPONSE.

Les chiffres de l’ISTR, en vidéo, en Français et en 1 minute 47 secondes :

Toujours dans le grand bestiaire des cyber-attaques, à noter ces temps-ci une recrudescence de Rançongiciel (il y a des fois, je ne suis pas certain qu’il faille vraiment traduire…), qui comme leur nom l’indique (…), prend en otage la machine ciblée en chiffrant tous les documents par exemple, et en demandant une “rançon” pour rendre l’accès.

Ici, le prétexte est l’amende (!), en s’appuyant sur un motif très spécifique, voyez plutôt (cliquer pour agrandir) :

Il me semble très utile et sécurisant de savoir quelles permissions une application Android (.APK) va demander lors de son installation, notamment si on n’en connaît pas précisément la provenance.

C’est désormais possible grâce au widget ” COMPARE ANDROID APP PERMISSIONS” (encore en version bêta), mais déjà très riche d’enseignements ! En effet, on peut se demander pourquoi un jeu très populaire, un outil de retouche photo, ou toute autre application, à besoin par exemple :

- de vous géolocaliser

• Access coarse location sources such as the cellular network database to determine an approximate phone location, where available. Malicious applications can use this to determine approximately where you are

- d’avoir accès au téléphone

• Allows the application to access the phone features of the device. An application with this permission can determine the phone number and serial number of this phone, whether a call is active, the number that call is connected to and the like.

- de lire vos données personnelles

• Allows an application to read all of the contact (address) data stored on your phone. Malicious applications can use this to send your data to other people.

- d’accèder à la carte SD

• modify/delete SD card contents – Allows an application to write to the SD card

- empêcher le smartphone de s’éteindre

• Allows an application to prevent the phone from going to sleep

- d’accepter des messages depuis le cloud

• Allows the applications to accept cloud to device messages sent by the application’s service. Using this service will incur data usage. Malicious applications may cause excess data usage

Trust, but verify !

Proverbe.