Rapport de McAfee® Labs sur le paysage des menaces — Août 2015
Rapport Rapport de McAfee Labs sur le paysage des menaces Août 2015 Le ransomware poursuit sa progression rapide, avec un nombre de nouveaux échantillons en hausse de 58 % au 2e trimestre. À propos de McAfee Labs Introduction McAfee Labs est l'une des principales sources de référence à l'échelle mondiale en matière d'études et de renseignements sur les menaces et les orientations stratégiques qu'il propose dans le domaine de la cybersécurité font autorité. Grâce à des données sur les principaux vecteurs de menaces (fichiers, Web, messagerie et réseau) recueillies à partir de millions de sondes, McAfee Labs fournit des renseignements en temps réel sur les menaces, des analyses critiques et des avis d'experts qui contribuent à améliorer les protections informatiques tout en réduisant les risques. Ce mois-ci, Intel célèbre le cinquième anniversaire de l'annonce de son rachat de McAfee. Depuis lors, l'univers de la sécurité informatique a beaucoup évolué. Nous avons donc décidé de jeter un regard rétrospectif sur ces quelques années écoulées afin de mettre en parallèle les prévisions que nous avions établies et la réalité des faits. McAfee fait désormais partie de la division Intel Security. www.mcafee.com/fr/mcafee-labs.aspx Suivre McAfee Labs Nous avons interrogé douze collaborateurs clés d'Intel et de McAfee qui y travaillaient avant l'acquisition, pour écouter leur point de vue quant aux grands changements qu'a connu le paysage des cybermenaces à bien des égards : les profils des auteurs d'attaques, leurs comportements et leurs cibles, les modèles économiques de la cybercriminalité ainsi que les mesures prises par le secteur de la sécurité. Notre objectif était également de déterminer les évolutions qu'ils n'avaient pas anticipées ou qui les ont réellement surpris. Nous espérons que vous apprécierez ce petit coup d'œil dans le rétroviseur. Ce trimestre, nous vous proposons deux autres articles très intéressants. Dans nos Rapports de McAfee Labs sur le paysage des menaces, nous nous attardons généralement sur les méthodes utilisées par les attaquants pour infiltrer un système ou un réseau, mais moins sur la manière dont ils procèdent pour exfiltrer les informations qu'ils convoitent une fois dans la place. Ici, nous avons tiré parti de la vaste expérience de notre équipe de services-conseils en investigation numérique McAfee Foundstone pour décrire de façon détaillée les tactiques et techniques employées par les pirates afin de s'emparer subrepticement des données ciblées. Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 2 Les attaques visant les processeurs graphiques (GPU) existent depuis de nombreuses années déjà, mais elles mobilisent peu l'attention. Récemment, du code de preuve de concept, publié sur GitHub, semble démontrer que ces composants peuvent être employés par les pirates pour y exécuter du malware et y stocker des données — échappant ainsi aux détections. Dans ce dernier article, nous passons au crible les arguments avancés et démêlons le vrai du faux en ce qui concerne les possibilités offertes par cette forme d'attaque. ■■ Autres faits marquants : ■■ ■■ La conférence Black Hat USA 2015 s'est tenue au début du mois d'août. Intel y a présenté deux sessions, dont l'une montre comment la recherche conjointe d'Intel et d'Intel Security renforce le niveau de protection au niveau du matériel. La présentation « Attacking Hypervisors Using Firmware and Hardware » (Attaque d'hyperviseurs à l'aide de micrologiciels et de matériel) fait le point sur la surface d'attaque des hyperviseurs modernes sous l'angle des vulnérabilités des micrologiciels système (BIOS et émulation de composants matériels, par exemple). Elle sera disponible ici peu après la fin de la conférence Black Hat. Comme signalé le trimestre dernier, l'infrastructure cloud sous-jacente de McAfee Global Threat Intelligence a été remplacée de façon à pouvoir gérer plus de requêtes, de données sur les menaces et de catégories de réputation. Son architecture a été également remaniée pour gagner en rapidité, sécurité, résilience et simplicité. La nouvelle mouture repose désormais sur le modèle REST. Au 2e trimestre, elle a été intégralement implémentée dans McAfee GTI à travers le monde. En 2014, nous avons mis sur pied une équipe d'analyse scientifique des données pour mieux comprendre et exploiter les données de McAfee GTI. Elle a développé l'instrumentation cloud de McAfee GTI ainsi qu'un tableau de bord qui nous permet de détecter et d'analyser des modèles d'attaques réelles, de façon à ce que nos clients bénéficient d'une protection plus efficace. Les chiffres qui suivent offrent un aperçu du nombre d'attaques auxquelles nos clients sont confrontés. Chaque heure, au 2e trimestre, ils ont subi : ––plus de 6,7 millions de risques de connexion à des URL dangereux (par des incitations présentes dans des e-mails, des résultats de recherche par navigateur, etc.) ; ––une exposition à plus de 19,2 millions de fichiers infectés dans leurs réseaux ; ––7 millions de tentatives d'installation ou de démarrage de programmes potentiellement indésirables ; ––2,3 millions de tentatives de connexions réseau depuis ou vers des adresses IP dangereuses. ■■ Les commentaires que nous recevons de nos lecteurs à propos de nos Rapports sur le paysage des menaces nous sont toujours très utiles. Si vous souhaitez nous faire part de vos impressions au sujet de cette édition, cliquez ici pour participer à une petite enquête qui ne vous prendra pas plus de cinq minutes. — Vincent Weafer, Vice-Président Directeur, McAfee Labs Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 3 Sommaire Rapport de McAfee Labs sur le paysage des menaces Août 2015 Ce rapport a été préparé et rédigé par : Brad Antoniewicz Christiaan Beek Dave Bull Torry Campbell Cedric Cochin Carric Dooley Douglas Frosst Robert Gresham Paula Greve Steve Grobman Dave Marcus François Paget Eric Peterson Matthew Rosenquist Raj Samani Craig Schmugar Mike Sentonas Rick Simon Bruce Snell Dan Sommer James Walter Vincent Weafer Résumé 5 Points marquants 6 Intel et McAfee : rétrospective des cinq dernières années 7 L'exfiltration de données, une étape importante du parcours du cyberescroc 16 Séparer le vrai du faux en matière de logiciels malveillants tirant parti des processeurs graphiques 26 Statistiques sur les menaces 30 Résumé Intel et McAfee : rétrospective des cinq dernières années Dans cet article, nous revenons sur les cinq dernières années pour comparer nos prévisions à la réalité des faits. Nous passons en revue les changements majeurs intervenus dans l'univers de la cybersécurité, concernant notamment les profils des auteurs d'attaques, leurs comportements et leurs cibles, les modèles économiques de la cybercriminalité, ainsi que les mesures prises par le secteur de la sécurité. Dans cet article, nous examinons les tactiques et techniques utilisées par les pirates pour s'emparer subrepticement des données ciblées. En août, Intel célèbre le cinquième anniversaire de l'annonce de son rachat de McAfee. Depuis lors, l'univers de la sécurité informatique s'est transformé de manière radicale. Pour les besoins de cette analyse rétrospective, nous avons réuni douze éminentes personnalités qui travaillaient déjà pour Intel ou McAfee avant l'acquisition afin qu'elles nous expliquent en quoi le marché de la cybersécurité et notre collaboration ont évolué. Dans cet article, nous examinons l'évolution de notre vision de la sécurité au niveau du matériel, notre point de vue de l'époque sur la situation explosive dans laquelle se trouvait le monde de la cybersécurité et les effets de l'onde de choc qui a effectivement suivi. Nous abordons en outre les défis que constituaient, selon nous, les attaques émergentes difficiles à détecter. Nous comparons également nos prévisions de 2010 concernant les nouveaux types d'appareils à la réalité du marché. Enfin, nous nous intéressons à diverses tendances qui nous ont surpris, en particulier la transformation de la cybercriminalité en un secteur d'activité économique à part entière. L'exfiltration de données, une étape importante du parcours du cyberescroc Au cours des dix dernières années, nous avons assisté à une hausse phénoménale du nombre de compromissions de données majeures et du volume d'enregistrements dérobés. Il suffit de songer aux 94 millions de fiches clients volées à TJ Maxx en 2007 ou aux 80 millions de dossiers patients subtilisés à Anthem cette année. Cet article s'intéresse à une étape majeure du processus de vol de données : leur exfiltration. Il s'agit de la méthode utilisée par un cybercriminel pour copier ou déplacer les données qu'il convoite, du réseau de leur propriétaire vers celui que lui-même contrôle. Nous passons en revue les profils des auteurs de ces attaques, leurs motivations, leurs cibles probables, les méthodes et mécanismes employés pour faire main basse sur les données ainsi que les stratégies que devraient adopter les entreprises pour mieux détecter l'exfiltration. Séparer le vrai du faux en matière de logiciels malveillants tirant parti des processeurs graphiques L'article fait le point sur les attaques utilisant les GPU, en clarifiant les possibilités qu'elles offrent et leurs limites. Les attaques visant les processeurs graphiques (GPU) existent depuis de nombreuses années déjà. De fait, une forme de logiciels malveillants qui infectent ces composants est en circulation et actif depuis au moins quatre ans. Ceux-ci se présentent comme des chevaux de Troie d'extraction de bitcoins, qui tirent parti des performances du GPU pour accroître les profits engrangés sur chaque système infecté. Récemment, un groupe a publié trois projets de preuve de concept qui, d'après leurs auteurs, utilisent les GPU pour faciliter le contournement — étant donné qu'aucun outil ne les examine — en y exécutant du code et en y stockant des données. Dans cet article, nous décortiquons chacun des arguments avancés dans ces projets afin de rétablir la vérité sur le potentiel offert par l'exploitation de ces modules logiciels pour GPU. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 5 Points marquants Intel et McAfee : rétrospective des cinq dernières années L'exfiltration de données, une étape importante du parcours du cyberescroc Séparer le vrai du faux en matière de logiciels malveillants tirant parti des processeurs graphiques Donner votre avis Points marquants Intel et McAfee : rétrospective des cinq dernières années — McAfee Labs Le 19 aout 2010, Intel annonçait qu'il allait faire l'acquisition de McAfee. À l'époque, les deux entreprises collaboraient déjà sur certains projets, et nous nous sommes rendu compte que nous pourrions améliorer et dynamiser nos initiatives en pérennisant notre entente. Depuis lors, nous avons pu découvrir avec admiration l'étendue de nos talents respectifs. Nous avons remis en cause certaines idées reçues, trouvé des solutions à des attentes irréalistes et acquis la confiance nécessaire pour élaborer un projet d'avenir dynamique. Douze collaborateurs clés d'Intel ou McAfee, déjà présents avant l'acquisition, nous ont aidés à retracer l'évolution du marché de la cybersécurité et de la collaboration entre nos deux entreprises. Il s'agit de : Christiaan Beek Torry Campbell Carric Dooley Steve Grobman Dave Marcus Matthew Rosenquist Raj Samani Mike Sentonas Craig Schmugar Bruce Snell James Walter Vincent Weafer Nous voici cinq ans plus tard : où en est notre partenariat ? Douze collaborateurs clés d'Intel ou McAfee, déjà présents avant l'acquisition, nous ont aidés à retracer l'évolution du marché de la cybersécurité et de la collaboration entre nos deux entreprises. Ce petit flash-back nous donne l'occasion de passer en revue les prévisions que nous avions établies au sujet du paysage des menaces et son évolution réelle, ainsi que les tendances auxquelles nous ne nous attendions pas. Ce qu'Intel attendait de McAfee Intel doit sa prospérité à la croissance continue du marché des technologies. Tout au long de son histoire, l'entreprise a multiplié les initiatives visant à lever tout frein au développement du marché ou à la poursuite de sa croissance. Elle a ainsi pu surmonter des obstacles tels que la vitesse du processeur, la capacité de la mémoire, la consommation électrique, les connexions périphériques et la taille de la puce électronique. Il y a cinq ans, elle était en passe de se heurter à un nouvel obstacle : la sécurité informatique. En effet, une perte de confiance des utilisateurs dans leurs terminaux, leurs connexions ou leurs services par manque de confidentialité, de sécurité voire de sûreté se serait traduite par un ralentissement du reste du marché. Contrairement à d'autres problèmes propres au matériel qu'Intel était à même de résoudre facilement par lui-même, dans ce cas précis, il ne pouvait pas agir seul et avait besoin du savoir-faire de McAfee en matière de sécurité pour ne pas être bridé dans sa croissance. Ce que McAfee attendait d'Intel Il y a cinq ans, tandis que la capacité des attaques à déjouer les défenses s'améliorait, que l'éventail de types de terminaux à protéger s'élargissait rapidement et que la montée des menaces agissant à un niveau profond (tels les rootkits) était imminente, McAfee a compris qu'il fallait étendre la portée et la couverture de la protection qu'il offrait. À eux seuls, les mécanismes de défense au niveau du périmètre réseau et les fonctions antimalware basées sur les signatures n'auraient, à brève échéance, plus été en mesure d'assurer la sécurité de l'environnement. Selon toute vraisemblance, le degré de sophistication des logiciels malveillants allait augmenter au point qu'ils pourraient percer la ligne de défense périmétrique. Nous nous sommes donc fixé comme objectif de concevoir des solutions de sécurité actives plus en profondeur, au niveau du matériel, et intégrées dans nos nouvelles plates-formes pour qu'elles puissent bloquer les attaques au sein du réseau approuvé et réparer leurs dommages. Pour y parvenir, il nous fallait mieux comprendre les capacités et le comportement des composants matériels. Nous collaborions déjà avec Intel sur certains projets de sécurité relatifs aux processeurs, ce qui nous a permis de prendre conscience que ses connaissances et son savoir-faire constitueraient pour nous des atouts décisifs. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 7 Points marquants Nouvel examen de la situation Lorsqu'Intel a annoncé l'acquisition, nous avons exposé nos motivations aux équipes techniques, aux analystes et aux investisseurs. Il s'agissait principalement de rapprocher nos logiciels du matériel pour accroître le niveau de protection et contrer efficacement des menaces toujours plus sophistiquées. Ajoutées à la prolifération du nombre et des types de terminaux, ces dernières créaient un terrain propice à une prolifération exceptionnelle des compromissions de sécurité et des vulnérabilités. Nous étions convaincus que ces menaces d'un nouveau genre seraient plus difficiles à détecter et nécessiteraient par conséquent des approches innovantes en matière de cyberdéfense. Nous nous attendions également à un changement radical du paysage informatique, avec la connexion aux réseaux de milliards d'appareils, autres que des ordinateurs personnels. La combinaison de ces facteurs engendrerait d'autres bouleversements économiques et techniques au sein du paysage des cybermenaces. Quel bilan pouvons-nous dresser aujourd'hui ? La sécurité intégrée à la puce Très tôt, un objectif prioritaire du rachat fut d'optimiser les technologies de sécurité en les plaçant au plus près du matériel. Ce n'était pas une mince affaire étant donné la rapidité avec laquelle les cybercriminels sont capables de reproduire et d'améliorer les menaces les plus sophistiquées, parfois quelques jours seulement après qu'elles ont été rendues publiques. Il faut beaucoup plus de temps pour développer, commercialiser et déployer du matériel de sécurité que des logiciels, et notre secteur se fie à l'agilité et à la capacité d'adaptation des logiciels pour lutter contre les nouvelles menaces inattendues. Les clients doivent pouvoir mettre rapidement à jour leurs dispositifs de défense pour refouler les attaques que l'on n'imaginait pas hier, et encore moins à cinq ans d'écart — la durée normale du cycle de conception du matériel. Plutôt que d'intégrer la protection antimalware dans les puces électroniques, nous avons jugé qu'il serait plus logique de doper les performances du chiffrement avec l'aide du matériel, d'utiliser des fonctions matérielles pour améliorer la protection contre l'altération et la surveillance du noyau, et d'intégrer des primitives de sécurité dans les puces de nouvelle génération que les logiciels de sécurité et de système d'exploitation pourraient ensuite utiliser. Depuis le rachat, nous avons distribué le cadre CHIPSEC à code source libre, pour l'analyse des composants matériels et micrologiciels et l'évaluation des risques de sécurité liés aux couches matérielles, ainsi qu'Intel Kernel Guard Technology, pour la garantie de l'intégrité à l'exécution. Les attaques de bas niveau, au niveau des micrologiciels et du BIOS, permettent la persistance des menaces, ce qui les rend très intéressantes aux yeux des cyberespions et autres auteurs d'attaques à long terme. Pour contrer ces logiciels malveillants actifs sous le système d'exploitation dans le but d'échapper à la détection et de survivre aux éradications et redémarrages, nous avons distribué le cadre CHIPSEC à code source libre (pour l'analyse des composants matériels et micrologiciels, et l'évaluation des risques de sécurité de bas niveau), Intel Kernel Guard Technology (pour garantir l'intégrité à l'exécution) et BIOS Guard (pour l'authentification et la protection). La combinaison des connaissances et du savoir-faire d'Intel et de McAfee, couplée au positionnement respectif des deux entreprises sur le marché, nous offre un point de vue unique qui nous permet d'observer l'évolution des menaces, de nous y adapter et même de les anticiper. Nous poursuivons toujours la même mission : proposer des logiciels de sécurité en phase avec les nouvelles grandes tendances que sont la mobilité, l'Internet des objets et le cloud tandis que les puces électroniques avec fonctions de sécurité pénètrent le marché. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 8 Points marquants Une situation explosive Nous nous attendions tous à ce que l'augmentation du nombre d'internautes, la prolifération des données, l'expansion des réseaux, le foisonnement des types de terminaux et l'apparition de nouvelles cibles telles que le cloud constituent tous des facteurs qui, combinés à la multiplication des attaques, à l'émergence de nouveaux logiciels malveillants plus intelligents et aux compétences croissantes des cybercriminels, allaient créer une situation véritablement explosive dans l'univers de la sécurité informatique. La plupart de ces prévisions se sont avérées. L'adoption du cloud, des appareils connectés à l'Internet des objets et des terminaux mobiles a même été plus rapide que nous le croyions. En 2010, nos projections avançaient que 31 milliards de terminaux seraient connectés à Internet en 2020, chiffre qui nous semble à présent sous-estimé. Nous avions anticipé correctement la conjugaison de facteurs qui allait rendre si volatile l'univers de la sécurité informatique, mais nous avions sous-estimé la rapidité et la puissance de certaines tendances. Il est certain que les cyberpirates ont tiré parti de cet afflux massif de cibles potentielles et d'une surface d'attaque en pleine expansion. Au départ, les nouvelles menaces n'inquiétaient principalement que les organismes publics, les institutions financières et les fournisseurs de solutions de sécurité. Aujourd'hui, elles constituent une source de préoccupation majeure tant pour les entreprises, dont elles peuvent frapper durement les activités, que pour les particuliers, dont elles peuvent miner la vie privée. À l'heure actuelle, certains États mènent une véritable cyberguerre, commanditant des attaques et opérations d'espionnage à long terme, aussi visibles que farouchement démenties par les intéressés. Là encore, bien que nous ayons prévu une large part de ces tendances, nous avons été surpris par l'évolution rapide du malware, l'augmentation du nombre d'attaques et l'ampleur des attaques à l'initiative de nations. Évolution des profils des auteurs d'attaques Pirate financé Q4 2014 par un État Crime organisé Cyberactiviste Criminel Amateur • Gloire et notoriété • Ressources techniques limitées • Exploits connus • Vandalisme • Capacités techniques limitées • Prise de position • Engagement continu et émotionnel • Grands réseaux • Attaques ciblées • Profit économique • Capacités et ressources techniques importantes • Organisations bien établies • Logiciels publicitaires (adware), logiciels criminels (crimeware), vol de capital intellectuel • Cyberguerre, secrets d'État, espionnage industriel • Attaques sophistiquées • Ressources quasi illimitées • Menaces APT NIVEAUX DE RESSOURCES ET DE SOPHISTICATION ACCRUS Diversification des types de pirates, accroissement de leurs ressources et plus grande sophistication des attaques Détecter l'indétectable En guise de mesure partielle face à cette aggravation de la situation, nous avons jugé qu'il nous fallait améliorer rapidement la protection antimalware basée sur les signatures en y ajoutant une technologie capable de détecter l'indétectable, puisque les logiciels malveillants évoluaient et s'adaptaient pour mettre en échec les dispositifs de sécurité traditionnels. Après tout, à la différence de la plupart des attaques, les mécanismes de défense peuvent généralement être testés et évalués par quiconque. N'importe quel attaquant peut soumettre un produit de sécurité à un environnement de laboratoire et le tester de toutes les manières possibles pour rechercher d'éventuelles failles à exploiter ou des possibilités de contournement. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 9 Points marquants Malgré ces inquiétudes, la majorité des violations de sécurité de ces dernières années ont pu être identifiées dans de brefs délais. Elles témoignaient d'une grande sophistication en termes de planification, de ciblage, de surveillance de la cible et d'exécution ; certaines présentaient même un haut niveau de technicité ou des mécanismes de contournement pointus. Nous avons cependant observé un changement au cours des deux dernières années, avec une hausse considérable du nombre d'attaques évoluées sur le plan technique. Beaucoup ont été spécifiquement conçues pour échapper aux mécanismes de sécurité avancés. Elles s'infiltrent de manière fractionnée, en plusieurs unités, se dissimulent au sein de code en apparence inactif et attendent une baisse de la garde pour se manifester. Contrairement à leurs prédécesseurs, ces menaces évitent les pièges basés sur les signatures grâce à des techniques de chiffrement et de modification de code dynamique leur permettant de muter à chaque nouveau déploiement et de masquer les données compromettantes. Rétrospective : cinq années de menaces Tendances et logiciels malveillants notables 2010 2011 2012 2013 Infecteurs MBR en hausse 2014 2015 Sous le système d'exploitation (MBR, BIOS, micrologiciels) Téléchargements à l'insu de l'utilisateur (drive-by) Menaces permanentes dans le navigateur Essor des kits d'exploit Menaces sans fichier / intrusions sans malware Malware à usage unique Polymorphisme côté serveur / injecteurs de hachage (hashbuster) Malware de collecte de données en mémoire (p. ex. terminaux de point de vente) Macros et scripts PowerShell malveillants Faux antivirus Menaces exploitant les bitcoins / devises virtuelles Logiciels de demande de rançon (ransomware) Malware pour terminaux de point de vente Menaces pour Mac en progression Diversification des plates-formes de malware et attaques multiplates-formes Menaces pour mobiles (malware, programmes potentiellement malveillants/indésirables) Principales vulnérabilités 2011 2012 Menaces contre l'Internet des objets 2013 2014 2015 BEAST : CVE-2011-3389 CRIME : CVE-2012-4929, CVE-2012-4930 RC4 : CVE-2013-2566 HeartBleed : CVE-2014-0160, CVE-2014-0346 Shellshock : CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187 BERserk : CVE-2006-4339, CVE-2014-1568 Poodle : CVE-2014-3566, CVE-2014-8730 FREAK : CVE-2015-0204, CVE-2015-1637 Logjam : CVE-20154000 Partager ce rapport Principales attaques contre le cœur même d'Internet Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 10 Points marquants L'émergence de malwares capables d'éviter les détections et l'apparition des attaques de longue durée ne nous ont pas surpris, mais certaines de leurs tactiques et techniques spécifiques étaient inconcevables il y a cinq ans. Nous observons de plus en plus souvent des attaques au long cours, qui durent plusieurs mois, ou des attaques menées dans une perspective à long terme, qui restent inactives et se contentent de surveiller avant de commettre leurs actions malveillantes. Dans la plupart des cas, leur objectif est probablement l'espionnage continu plutôt que la vente immédiate des données exfiltrées. Bien qu'en 2010, nous ayons déjà prévu des attaques de longue durée, certaines des tactiques et techniques qu'elles utilisent étaient inimaginables il y a cinq ans. Nous avons documenté une de ces attaques dans l'article « Equation Group : exploitation des micrologiciels des disques durs et électroniques » du Rapport de McAfee Labs sur le paysage des menaces — Mai 2015. Et une autre dans le rapport L'opération Troy sous la loupe : cyberespionnage en Corée du Sud. Évolution des types d'appareils La prolifération des types et du nombre de terminaux, associée à la progression considérable de la virtualisation et des clouds publics, a contribué à nourri le cercle vicieux dans lequel se trouvait le monde de la sécurité. Les particuliers ont été très prompts à se doter de technologies « branchées ». Ce fut le cas pour les téléphones mobiles, ensuite les smartphones, les tablettes et, dernièrement, les dispositifs vestimentaires. L'adoption rapide des appareils connecte nos habitations et les entreprises à l'Internet des objets, dans des domaines aussi divers que la santé, l'énergie, la logistique, la grande distribution, les municipalités, le transport, l'automobile ou l'industrie. Les appareils occupent une place tellement importante dans le quotidien de leurs utilisateurs que ceux-ci sont prêts à sacrifier leur sécurité et le respect de leur vie privée. Nous pensions, et continuons à penser, qu'à partir du moment où un nombre suffisant de dispositifs d'un certain type crée un marché lucratif, ils deviennent la cible d'attaques. Ces cinq dernières années, nos prévisions se sont avérées dans certains domaines, tandis que nous avons eu quelques surprises dans d'autres. La quantité de terminaux mobiles a augmenté encore plus rapidement que nous ne l'avions présagé. En revanche, le nombre d'attaques massives et graves dirigées contre ceux-ci a progressé plus lentement que nous l'aurions pensé. Nous n'en sommes qu'aux prémices des attaques et compromissions visant l'Internet des objets. Partager ce rapport Mobilité — Bien que les attaques contre les terminaux mobiles aient connu une croissance très rapide, la plupart d'entre elles en sont encore à leur phase exploratoire ou n'ont qu'un impact relativement mineur. La valeur des données pouvant être extraites d'un smartphone est plutôt faible, et ces appareils ne constituent pas un vecteur d'attaques prédominant pour les entreprises. De nombreux smartphones et tablettes possèdent une fonctionnalité de sauvegarde automatique. Celle-ci permet de les nettoyer et de récupérer leur contenu facilement en cas d'infection ou de prise en otage de leurs données, du moins jusqu'à ce que les pirates parviennent à compromettre les sauvegardes dans le cloud. Par ailleurs, les marchés des applications pour smartphones et tablettes sont beaucoup plus restrictifs : ils font en quelque sorte office de services de listes blanches pour limiter les téléchargements d'applications mobiles malveillantes. Même si elles ne sont pas totalement efficaces, ces restrictions parviennent à freiner la progression des attaques visant les mobiles. La quantité de terminaux mobiles a augmenté encore plus rapidement que nous ne l'avions présagé. En revanche, le nombre d'attaques massives et graves dirigées contre ceux-ci a progressé plus lentement que nous l'aurions pensé. Internet des objets — Les exploits conçus pour les appareils connectés à l'Internet des objets n'en sont qu'à leurs débuts. La diversité de ces dispositifs, et celle de leurs systèmes d'exploitation et de leurs versions, leur assure une résistance à court terme aux attaques car peu d'entre eux ont un nombre d'utilisateurs suffisamment important pour être attrayants aux yeux des cyberescrocs. Leur nombre a toutefois grimpé beaucoup plus rapidement que nous ne l'avions prévu, et dans des secteurs d'activité que nous n'avions pas envisagés, ce qui a engendré une surface d'attaque gigantesque. Il ne faudra donc pas longtemps avant que les menaces ciblant les appareils de l'Internet des objets se généralisent. Il est évident que les pirates ne convoitent pas le dispositif lui-même, mais les données ou la fonction de passerelle auxquelles il permet d'accéder. Ils cherchent toujours la porte d'entrée la plus facile, et ces appareils offrent souvent un accès insuffisamment protégé à des réseaux où les cibles sont légion. Nous n'en sommes qu'aux prémices des attaques et compromissions visant ces types d'équipements. Ordinateurs personnels et systèmes de centre de données — Comme nous l'avions pressenti, malgré la hausse vertigineuse du nombre de terminaux et appareils qui n'appartiennent pas à la catégorie des ordinateurs personnels, ces derniers demeurent la cible la plus lucrative pour les cybercriminels, à l'instar des systèmes de centre de données. Ils renferment en effet les données les plus précieuses, présentent les vulnérabilités les plus visibles et possèdent les règles d'application de patchs les moins strictes. Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 11 Points marquants L'adoption du cloud a transformé la nature de certaines attaques car les équipements sont pris pour cibles non pas pour le peu de données qu'ils hébergent, mais parce qu'ils donnent accès à l'emplacement où résident les données importantes. Virtualisation et cloud — Le vif succès rencontré par la virtualisation et le cloud a contribué à la prolifération des terminaux. Nous nous attendions à une croissance rapide de la virtualisation, en particulier dans le centre de données, mais nous avons été étonnés par la vitesse à laquelle le cloud et les technologies de stockage ont été déployés et adoptés. Les avantages financiers considérables de la transition vers la virtualisation nous ont incités à optimiser le matériel pour qu'il prenne celle-ci en charge. De même, pour les entreprises, le passage au cloud se justifie pleinement sur le plan financier et opérationnel, mais nous pensions qu'elles mettraient plus de temps à franchir le pas. L'adoption du cloud a transformé la nature de certaines attaques car les équipements sont pris pour cibles non pas pour le peu de données qu'ils hébergent, mais parce qu'ils donnent accès à l'emplacement où résident les données importantes. Si un pirate parvient à mettre la main sur les informations d'identification de cloud de sa cible, il sera en mesure d'espionner les activités et les transactions, de manipuler des données, de renvoyer des informations falsifiées et de rediriger les clients de l'entreprise vers des sites illégitimes. Le compte ou les instances de services de la cible peuvent également servir de tremplin à l'attaquant, qui peut tirer parti de la réputation de sa victime pour perpétrer de nouvelles attaques. Comme nous l'avions prévu, les attaques exploitant des vulnérabilités du cloud, déjà observées avant le rachat, sont toujours présentes. Évolution et aspects financiers des cybermenaces Nous étions tous conscients que le nombre et les capacités techniques des cyberattaques augmenteraient de manière significative. Les conditions créaient une tentation bien trop forte. Les menaces ont évolué comme une course aux armements traditionnelle : chaque fois que les criminels mettaient au point de nouvelles attaques, le secteur de la sécurité développait des défenses plus performantes ; en réaction, les premiers montaient en puissance, et ainsi de suite. Internet et le Web clandestin (Dark Web) ont joué un rôle déterminant dans ce processus, en permettant aux cybercriminels de s'échanger leurs techniques et de se former mutuellement. Dès l'apparition d'une attaque en circulation, même si elle était l'œuvre d'une organisation criminelle particulièrement experte sur le plan technique, d'autres pouvaient l'observer, la décoder, la réutiliser et même s'en inspirer pour l'améliorer. Peu après l'identification d'une vulnérabilité, elle était souvent vendue à des cybercriminels en vue de son exploitation. Des fournisseurs de technologies ont instauré un système de primes pour l'identification d'erreurs dans leurs produits, et l'achat des vulnérabilités, que ce soit par les fournisseurs eux-mêmes ou par les cybercriminels, est devenu une activité bien plus rentable que nous ne l'avions imaginé. Partager ce rapport Type de vulnérabilité Prix d'un exploit de type « jour zéro » Adobe Reader 5 000 – 30 000 USD Mac OS X 20 000 – 50 000 USD Android 30 000 – 60 000 USD Plug-ins de navigateur Flash ou Java 40 000 – 100 000 USD Word 50 000 – 100 000 USD Windows 60 000 – 120 000 USD Firefox ou Safari 60 000 – 150 000 USD Chrome ou Internet Explorer 80 000 – 200 000 USD iOS 100 000 – 250 000 USD Cours des exploits « jour zéro » en 2013 Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 12 Points marquants Nous avons été témoins de la transformation de la cybercriminalité en un secteur d'activité à part entière, avec ses fournisseurs, ses marchés, ses prestataires de services, son financement, ses systèmes de transactions et ses modèles économiques diversifiés. Nous ne nous attendions cependant pas à ce que la cybercriminalité se transforme en un secteur d'activité à part entière, avec ses fournisseurs, ses marchés, ses prestataires de services (« services cybercriminels »), son financement, ses systèmes de transactions et ses modèles économiques diversifiés. Bien entendu, la criminalité emprunte toujours le chemin le plus facile et le plus direct pour gagner de l'argent. Elle doit en outre être suffisamment rentable pour payer grassement ses acteurs, faute de quoi ses activités cesseront. Malheureusement, cela ne constitue pas un problème. Dans un rapport, un fournisseur de solutions de sécurité a estimé à 1 425 % le retour sur investissement d'une campagne de malware hypothétique, mais réaliste. Dans une étude réalisée à la demande d'Intel Security, le coût annuel de la cybercriminalité pour l'économie mondiale a été estimé à environ 400 milliards de dollars. Si Internet a joué un rôle crucial pour la cybercriminalité, les attaques ont été alimentées par l'accès à des technologies permettant aux criminels de garder l'anonymat. Plus spécifiquement, la capacité de ceux-ci à se soustraire à la vue des forces de l'ordre repose essentiellement sur les réseaux d'anonymisation, en particulier Tor, et les devises virtuelles. Certains d'entre nous ont constaté les stades précoces du développement des devises virtuelles et ont immédiatement compris qu'elles permettraient d'exécuter de nombreux types de transactions illégales. Les bitcoins et les services de courtage anonymes ont également redynamisé le marché des logiciels de demande de rançon (ransomware), en le rendant viable sur le plan commercial et en dopant sa croissance au-delà de nos prévisions. Il y a cinq ans, de nombreux vols fortement médiatisés impliquaient la vente rapide de données de cartes de crédit en masse, à des individus cherchant à réaliser des achats frauduleux. Les sociétés émettrices ont consenti d'importants efforts pour que l'utilisation des cartes piratées soit bloquée au plus vite, si bien que désormais, celles-ci perdent vite de leur valeur. C'est ainsi que certains cybercriminels ont commencé à dérober d'autres types de données dont la valeur est élevée (tels que les dossiers médicaux personnels) et met plus de temps à chuter. S'inspirant du monde de l'entreprise, les cybercriminels se tournent eux aussi vers les entrepôts de données, pour combiner et mettre en corrélation plusieurs ensembles de données volées afin qu'ils soient plus lucratifs. Dans de nombreux cas de vols récents qui ont fait la une des médias, notamment de déclarations d'impôts de contribuables ou de vérifications des antécédents, les données n'ont pas été monnayées immédiatement, ce qui laisse supposer que la cybercriminalité gagne en maturité. Nous n'avions pas anticipé cette éventualité. Autre indicateur de la maturité des activités cybercriminelles : la revue à la baisse des compétences techniques nécessaires pour opérer dans le secteur. Des kits d'outils prêts à l'emploi pour la conception de logiciels malveillants, des programmes d'affiliation pour ransomware, des programmes de création d'attaques à l'aide de quelques champs à compléter et d'autres offres commerciales familières sont apparues sur le Web clandestin pour permettre une distribution plus rapide, plus simple et plus étendue des attaques. Désormais, il ne faut plus de compétences particulières pour être un cybercriminel. (Pour un aperçu des packages de malware disponibles à la vente, lisez l'article « Adieu Blacole, place à Angler » du Rapport de McAfee Labs sur le paysage des menaces — Février 2015.) Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 13 Points marquants Les logiciels malveillants proposés sous la forme de packages bon marché ont largement favorisé les cyberattaques. D'une manière générale, les États n'ont pas les mêmes motivations lorsqu'ils orchestrent des attaques, mais il est fréquent qu'ils recourent à la même infrastructure criminelle. Leur objectif n'est pas de nature financière ; leurs visées s'articulent à plus long terme et mettent en jeu des ressources très différentes. Le cyberespionnage fonctionne le plus souvent de la même manière que l'espionnage traditionnel : il est pratiqué en secret par un nombre réduit de personnes. Toutefois, l'ampleur du cyberespionnage commandité par des États a dépassé nos prévisions et, au cours de ces deux dernières années seulement, le nombre d'affaires dévoilées, y compris au grand public, a fortement augmenté. D'autres surprises Les entreprises et les particuliers n'accordent toujours pas une attention suffisante aux mises à jour, aux correctifs, à la sécurité des mots de passe, aux alertes de sécurité, aux configurations par défaut et à d'autres méthodes simples mais essentielles de protection des ressources numériques et physiques. La découverte et l'exploitation des vulnérabilités présentes dans l'infrastructure de base d'Internet ont montré que certaines technologies fondamentales souffrent d'un manque de financement et d'effectifs. Certaines évolutions que nous n'avions pas prévues ne peuvent être classées dans les sections précédentes. Le point le plus saillant est sans doute le perpétuel manque d'attention aux mises à jour, aux correctifs, à la sécurité des mots de passe, aux alertes de sécurité, aux configurations par défaut et à d'autres méthodes simples mais essentielles de protection des ressources numériques et physiques, et ce de la part des entreprises comme des particuliers. Tout cela n'a rien de nouveau pour le secteur de la sécurité : nous rabâchons ces avertissements depuis des dizaines d'années. Et pourtant, les brèches laissées par cette négligence demeurent la principale cause de réussite des attaques. En ce qui concerne les ressources physiques, nous nous étonnons encore de l'absence d'attaque catastrophique réussie contre des infrastructures critiques. Si de telles attaques n'ont guère d'intérêt pour les cybercriminels car elles n'offrent pas de perspectives de gains faciles, il est fort probable qu'elles puissent servir les objectifs de terroristes et probablement de certains États. Bien que nous ayons observé des opérations de cyberreconnaissance sur des infrastructures critiques, nous supposons que des enjeux politiques ou stratégiques ont empêché le passage à l'offensive, du moins jusqu'ici. À propos d'infrastructure, la découverte récente et inattendue de vulnérabilités de l'infrastructure au cœur d'Internet — présentes dans du code datant de plusieurs dizaines d'années — ainsi que leur exploitation ont révélé que certaines technologies fondamentales souffrent d'un manque de financement et d'effectifs. La prise de conscience de ce risque a donné lieu à des initiatives de parrainage dans le domaine des logiciels et à une collaboration accrue entre des grandes organisations dont les activités reposent entièrement sur Internet. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 14 Points marquants Nous avons été ravis de la collaboration toujours plus fructueuse entre le secteur de la sécurité, le milieu universitaire, les forces de l'ordre et les États au démantèlement d'opérations cybercriminelles. Enfin, nous avons été ravis de la collaboration toujours plus fructueuse entre le secteur de la sécurité, le milieu universitaire, les forces de l'ordre et les États au démantèlement d'opérations cybercriminelles. Si les criminels sont capables et désireux de partager leur code et leurs astuces, nous devons en faire de même pour nos mécanismes de défense. Même si la devise peut sembler éculée, gardons toujours à l'esprit que l'union fait la force. Conclusion Au cours des cinq dernières années, nous avons vu juste sur certains points mais pas sur d'autres. En effet, nombre de nos prévisions concernant la combinaison de facteurs dangereux pour la sécurité informatique se sont révélées exactes, tandis que nous sommes passés à côté de certains éléments. Trois forces ont en effet continué à ébranler le paysage de la cybersécurité : l'agrandissement de la surface d'attaque, l'industrialisation du piratage, et la complexité et fragmentation du marché de la sécurité informatique. La cybercriminalité a gagné en maturité bien plus rapidement que nous ne l'avions imaginé. D'une entreprise relativement artisanale, elle est devenue un véritable secteur d'activité, qui s'essaie à différents modèles économiques et obéit à des motivations d'ordre criminel, politique et militaire. La sensibilisation à la cybersécurité n'a jamais été aussi forte, notamment grâce aux médias, aux nouvelles réglementations qui exigent la divulgation des compromissions et à une maturité et des connaissances accrues. Les enjeux sont cependant beaucoup plus importants aujourd'hui, et le paysage s'est transformé au profit des cyberpirates, qui disposent de compétences et de ressources inédites. Les batailles de la sécurité demeurent ardues, mais la guerre n'est pas finie. Différents facteurs ont été profitables à notre camp : une meilleure prise de conscience, des professionnels de la sécurité plus nombreux, les innovations technologiques et la reconnaissance par les États du rôle qu'ils ont à jouer dans la protection des citoyens dans le cyberespace. La fusion d'Intel et de McAfee s'inscrit dans l'évolution visant à fournir une protection fiable pour les utilisateurs et les technologies de demain. Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 15 Points marquants L'exfiltration de données, une étape importante du parcours du cyberescroc — Brad Antoniewicz Ces dix dernières années ont vu une adoption sans précédent des technologies au niveau mondial. L'utilisation d'Internet a grimpé en flèche, passant de 15 % à plus de 40 % de la population mondiale. Les entreprises de toutes tailles disposent de réseaux connectés à Internet pour communiquer avec leurs clients et distribuer les données qui sont au cœur de leurs activités. La collecte et la numérisation de l'information, couplée à l'envergure et à la portée des réseaux modernes, offrent une alléchante perspective aux escrocs : le vol de données. Les voleurs s'emparent de pratiquement toutes les informations existantes concernant les individus : noms, dates de naissance, adresses, numéros de téléphone, numéros de sécurité sociale, numéros de cartes de crédit et de débit, informations médicales, informations d'identification de compte et même préférences sexuelles. La dernière décennie a également été marquée par une augmentation phénoménale du nombre de compromissions de données majeures. En 2007, TJ Maxx a été victime de l'une des premières intrusions à très grande échelle, qui s'est soldée par le vol des informations de cartes de crédit et de débit de quelque 94 millions de clients. À peine deux ans plus tard, Heartland Payment Systems, le géant du traitement des paiements, subissait un sort similaire, avec l'exfiltration des données d'environ 130 millions de clients. Les années à venir devraient nous réserver des compromissions aux proportions encore plus significatives ciblant probablement un réseau d'informations plus étendu. En plus des numéros de cartes de crédit et de débit, les malfaiteurs se sont emparés de pratiquement toutes les informations existantes concernant les individus : noms, dates de naissance, adresses, numéros de téléphone, numéros de sécurité sociale, informations médicales, informations d'identification de compte et même préférences sexuelles. Nous savons désormais que les voleurs sévissant sur Internet ne sont pas uniquement des individus ou groupes d'individus en quête de profit. Leurs motivations permettent de les classer dans différentes catégories, en fonction de la finalité du vol de données. Comme le révèle une récente offre d'emploi pour un poste d'« agent du renseignement américain », le mobile du vol de données personnelles est tout autre lorsque les victimes sont des fonctionnaires ou collaborateurs d'organismes publics et que les voleurs agissent pour le compte d'États. Le succès d'Internet et l'évolution du vol de données ont également donné un second souffle au cyberespionnage, faisant du vol de capital intellectuel numérique une menace bien réelle. Des secrets commerciaux ont été subtilisés à des entreprises de tous types — de Google, Microsoft et Sony à Boeing, en passant par Lockheed Martin et DuPont, ce qui prouve que les pirates sont capables de dénicher de la valeur partout où il y en a. Cet article s'intéresse à une étape majeure du processus de vol de données : leur exfiltration. Elle consiste pour le cyberescroc à copier ou à déplacer les données qu'il convoite, du réseau de leur propriétaire vers celui que lui-même contrôle. L'exfiltration est exécutée dans l'intention de voler des données. Elle n'a pas lieu au cours d'une fuite de données accidentelle à la suite de la perte ou du vol d'un équipement. (Dans pareil cas, l'escroc est souvent davantage intéressé par le matériel.) Différents acteurs Auteur d'attaques, attaquant et responsable d'attaques sont des expressions utilisées pour décrire un groupe ou un individu dont l'intention est d'obtenir un accès non autorisé à des réseaux et systèmes informatiques. Dans les diverses publications émanant des secteurs privé et public qui tentent de classer ces acteurs, trois catégories majeures sont systématiquement mises en évidence : les États, les organisations cybercriminelles et les cyberactivistes. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 16 Points marquants Motivation La motivation est l'une des principales caractéristiques qui différencient les types d'acteurs. Bien que tous ne doivent pas nécessairement subtiliser des données lors de chaque campagne pour accomplir un objectif précis, c'est le cas pour de nombreuses campagnes. États Motivations générales Exemples de types de données Lorsqu'il doit commettre un vol, l'auteur d'attaques recherche généralement les types de données les plus attrayants. Ces derniers peuvent toutefois changer : il n'est donc pas rare de constater, par exemple, qu'une organisation cybercriminelle se tourne à un moment donné vers le vol de propriété intellectuelle afin d'accroître ses profits. Crime organisé ■■ Espionnage ■■ Influence ■■ Code source ■■ ■■ E-mails ■■ ■■ Documents internes ■■ Activité militaire ■■ ■■ ■■ Informations d'identification personnelle de fonctionnaires Motivations financières Informations bancaires Données de cartes de crédit Informations d'identification personnelle (numéros de sécurité sociale, données médicales, etc.) Cyberactivistes ■■ Atteinte à la réputation ■■ Médias sociaux ■■ E-mails ■■ ■■ Informations sur le personnel Tous types de données internes sensibles Volume des données convoitées Faible à élevé Élevé Faible à élevé Niveau de sophistication des techniques d'exfiltration Élevé Moyen à faible Moyen à faible Emplacement sur le réseau Inconnu/données souvent disséminées Connu À la fois connu et inconnu/ données souvent disséminées Le but des États est généralement d'acquérir un avantage stratégique, ce qui les incite souvent à cibler le capital intellectuel. L'éventail d'informations dont il est possible de tirer profit étant très large, il est souvent difficile d'estimer le volume de données exfiltrées lors d'une d'attaque — très peu généralement dans le cas d'un simple plan ou diagramme d'un nouveau produit, beaucoup s'il s'agit du code source d'une application majeure. Pour les entreprises, il est très compliqué de confiner ces informations. Par ailleurs, celles-ci sont souvent disséminées sur plusieurs réseaux, ce qui oblige les attaquants à consacrer un temps considérable à effectuer des recherches, à moins de disposer de renseignements privilégiés. Les objectifs financiers des organisations cybercriminelles font que leurs motivations sont relativement plus simples à cerner. Elles ciblent généralement les grandes bases de données de cartes de crédit ou bancaires, ou les sources riches en informations d'identification personnelle. Ces données présentent pour la plupart un format structuré standard qui facilite leur recherche. De plus, elles sont généralement soumises à des réglementations, ce qui signifie qu'elles sont conservées à des emplacements bien déterminés du réseau. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 17 Points marquants Les cyberactivistes sont sans doute les plus difficiles à contrer car il est possible de porter atteinte à la réputation d'une entreprise ou d'une administration par l'exploitation de données internes, quelles qu'elles soient. C'est pour cette raison qu'ils peuvent cibler des données de tous types, des e-mails aux informations de cartes de crédit, et que les volumes dérobés peuvent varier considérablement. Accès physique La capacité d'un auteur d'attaques à accéder physiquement à un système, même via un proxy, lui procure un avantage considérable. Les dispositifs de stockage USB permettent d'exfiltrer facilement de grandes quantités de données tout en contournant les contrôles de sécurité réseau. Un cyberpirate peut orchestrer une attaque en confiant un support amovible à un employé peu méfiant, qui va la déclencher par inadvertance lorsqu'il connectera celui-ci à un terminal. Connaissance de l'environnement Grâce à l'ingénierie sociale, au concours de collaborateurs internes et à la collecte de renseignements issus de sources publiques, les auteurs d'attaques peuvent acquérir une connaissance des réseaux et des systèmes de l'environnement. Ces techniques leur permettent de réduire le temps consacré à la recherche de données, à l'obtention de l'accès aux systèmes et à l'exfiltration. Exfiltration de données Copier les données à partir d'un réseau compromis peut être une tâche complexe. Elle nécessite une compréhension approfondie de la configuration de sécurité de l'entreprise ciblée, des failles dans la segmentation de son réseau, du positionnement et des paramètres de ses contrôles de sécurité, et des droits requis pour avoir accès aux systèmes tout au long de l'attaque. Pour vous aider à mieux cerner ces techniques complexes et leurs catégories, nous avons défini les composantes de l'exfiltration, réparties en cinq domaines : ■■ ■■ ■■ ■■ ■■ Cibles de données — Systèmes sur lesquels résident les données convoitées par l'auteur de l'attaque, par exemple partages de fichiers, référentiels, systèmes de point de vente, etc. Infrastructure relais — Systèmes appartenant à l'entreprise ciblée et utilisés par l'auteur de l'attaque pour collecter et transmettre les données de l'entreprise vers les serveurs de vidage. Serveurs de vidage — Systèmes accessibles à l'auteur de l'attaque et qu'il utilise pour stocker de manière temporaire les données avant qu'elles ne soient totalement sous son contrôle. Transports de données — Protocoles réseau ou équipements de stockage réseau utilisés pour transporter les données d'un emplacement à un autre. Manipulation des données — Techniques permettant d'altérer ou de masquer les données, comme le chiffrement, la dissimulation, la compression et la segmentation. Composantes de l'exfiltration de données Données cibles Infrastructure relais Internet Serveurs de vidage Transports / Manipulation de données Principales composantes de l'exfiltration de données Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 18 Points marquants Cibles de données Dès qu'un attaquant compromet un système du réseau, il dispose d'une porte ouverte pour explorer d'autres systèmes et identifier ceux susceptibles de contenir des données intéressantes. Comme un réseau complexe héberge de nombreux types de données, un auteur d'attaques ne disposant pas de connaissances privilégiées mettra du temps à y parvenir. Les principales cibles de données sont les suivantes : Auteurs d'attaques potentiels Cibles de données Types de données Systèmes de base de données Variables : informations médicales protégées, informations d'identification personnelle, cartes de crédit, comptes bancaires et comptes d'utilisateur Organisations criminelles, cyberactivistes Référentiels de code source Code source, informations d'identification, clés États, cyberactivistes Systèmes spécialisés Variables Tous, selon le type de terminal Partages de fichiers et systèmes similaires Code source, plans, communications États, cyberactivistes E-mails et communications Plans, communications États, cyberactivistes Systèmes de base de données Ces systèmes hébergent d'importants volumes de données structurées, ce qui en fait une cible de choix surtout pour les organisations criminelles. Ils exécutent plusieurs fonctions métier : ■■ ■■ ■■ ■■ ■■ ■■ Authentification — Systèmes contenant des informations telles que les noms d'utilisateur et les mots de passe employés pour l'authentification des utilisateurs. Suivi des patients — Systèmes responsables du suivi de l'admission, de la gestion et de la sortie des patients dans le secteur des soins de santé. Traitement des paiements — Systèmes acceptant, émettant et traitant les transactions financières des clients ou des fournisseurs. Gestion/fidélisation des clients — Systèmes contenant des données clients aux fins de suivi, marketing ou autres motifs similaires. Gestion des ressources humaines/de la paie — Systèmes responsables de la gestion et de la rémunération du personnel. Informatique hors production/parallèle — Les systèmes de test et les systèmes informatiques parallèles qui contiennent des données de production et d'autres informations de la société sont parfois tout aussi intéressantes pour l'attaquant et plus vulnérables aux attaques. Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 19 Points marquants Référentiels de code source Les référentiels de code source internes ne sont pas toujours protégés même s'ils contiennent des données extrêmement précieuses, notamment le code source des applications, les clés d'API, les informations d'identification des serveurs d'authentification et de base de données et les clés de chiffrement. Systèmes spécialisés Les attaques contre les grandes chaînes de distribution et les fabricants montrent que les auteurs de menace ciblent des données hébergées sur des systèmes spécialisés ou des terminaux remplissant une fonction précise dans un secteur donné. Citons par exemple : ■■ ■■ ■■ Systèmes de point de vente — Le système de point de vente est sans doute le maillon faible du traitement des paiements car les données des cartes de crédit sont rarement chiffrées en mémoire après leur lecture par le lecteur de cartes. Postes de travail des développeurs — Ces systèmes sont des cibles de choix car ils peuvent contenir une mine d'informations sur l'environnement et des éléments de propriété intellectuelle. Systèmes de contrôle — Les points de consigne et la logique des programmes peuvent fournir des renseignements précieux et être modifiés, ce qui peut avoir des conséquences catastrophiques dans le cadre d'attaques des systèmes industriels. Référentiels de fichiers Pour un voleur, le volume considérable de données hébergées dans les référentiels de fichiers de grande taille possède ses avantages et ses inconvénients. En effet, s'ils peuvent contenir une mine d'informations, leur tri manuel représente toutefois une tâche colossale car ils contiennent des données non structurées. Parmi les systèmes entrant dans cette catégorie, citons : ■■ ■■ ■■ Partages de fichiers réseau — Ces systèmes contiennent les dossiers des utilisateurs et des groupes ainsi que les documents, diagrammes et autres données d'entreprise incluses dans ces dossiers. Systèmes de gestion du contenu — Microsoft SharePoint et d'autres systèmes hébergent un contenu similaire à celui des partages de fichiers, mais ils sont généralement plus complexes à débrouiller pour un cybercriminel. Cloud de fournisseur tiers — Les services de partage des fichiers hébergés dans le cloud, notamment Google Drive, Dropbox et Box.com peuvent également exposer des données, mais ils sont souvent ciblés par des attaquants externes disposant de connaissances privilégiées plutôt que des pirates présents dans le réseau interne. E-mails et communications Les postes de travail des utilisateurs, les serveurs de messagerie et les systèmes de messagerie instantanée, notamment Skype Entreprise, sont souvent pris pour cible car leurs caches contiennent des données d'entreprise sensibles, des informations d'exploitation et des communications privées. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 20 Points marquants Infrastructure relais Plus la cible est segmentée et enfouie dans les profondeurs du réseau, plus il est difficile pour un auteur d'attaques d'exfiltrer les données. Plus la cible est segmentée et enfouie dans les profondeurs du réseau, plus il est difficile pour un auteur d'attaques d'exfiltrer les données. Lorsque c'est nécessaire, les voleurs mettent en place une infrastructure relais spéciale qui utilise des hôtes en tant qu'intermédiaires entre les segments réseau et un serveur de vidage contrôlé par l'attaquant. Selon les besoins, l'infrastructure relais peut être complexe ou simple. Les types de systèmes suivants ont été utilisés dans des scénarios d'exfiltration avancés : ■■ ■■ ■■ Terminaux — Une ou plusieurs cibles de données sur le même segment ou le segment routable vers l'agrégateur. Agrégateur — Sert de point de collecte pour les données des terminaux cibles et télécharge les données vers l'exfiltrateur. L'agrégateur peut avoir, ou non, accès à Internet. Dans le cadre de campagnes sophistiquées, plusieurs agrégateurs peuvent transférer les données vers plusieurs exfiltrateurs pour dissimuler le chemin de sortie des données. Exfiltrateur — Récupère les données d'un agrégateur et facilite leur transfert vers le serveur de vidage de l'attaquant. Soit l'exfiltrateur se contente de transférer les données, soit il les conserve jusqu'à ce que l'attaquant les récupère. Architecture d'exfiltration de données Agrégateur Exfiltrateur Internet Serveurs de vidage Terminaux Architecture d'exfiltration des données classique Ce diagramme représente une architecture d'exfiltration classique, mais il en existe d'autres. Ainsi, une analyse d'une campagne récemment publiée a révélé que celle-ci avait mis en place un réseau ad hoc fortement distribué d'exfiltrateurs et d'agrégateurs, qui opéraient à tour de rôle pour transférer les données entre les systèmes et vers les serveurs de vidage. Dans un autre cas, le serveur de distribution de contenu d'une société, accessible via Internet, a été utilisé comme exfiltrateur par l'incorporation des données dans le flux vidéo du contenu accessible au public. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 21 Points marquants Serveurs de vidage Un serveur de vidage est le premier emplacement en dehors du contrôle de la société victime dans lequel sont hébergées les données volées. Cela ne signifie pas pour autant que ce serveur soit sous le contrôle de l'attaquant. Il s'agit simplement d'un emplacement auquel ce dernier peut accéder facilement. Divers systèmes peuvent jouer le rôle de serveurs de vidage : ■■ ■■ ■■ ■■ ■■ Systèmes compromis — Systèmes compromis par l'attaquant lors d'une autre campagne. Ils peuvent prendre diverses formes dont, entre autres, des blogs WordPress personnels ou des serveurs appartenant à des sociétés dotées de contrôles de sécurité insuffisants. Systèmes hébergés dans des pays particuliers — Les pays possédant une législation stricte en matière de confidentialité sont intéressants pour les attaquants car les systèmes hébergés au sein de leurs frontières jouissent d'un certain degré de protection et d'impunité. Systèmes hébergés temporairement — Systèmes éphémères hébergés dans le cloud via des fournisseurs tels qu'AWS, Digital Ocean ou Azure. Services cloud de partage de fichiers — Sites de partage de fichiers en ligne à accès libre, par exemple DropBox, Box.com ou Paste Bin. Services hébergés dans le cloud — Divers services Internet tels que Twitter et Facebook permettant à leurs utilisateurs de publier des données. Les hôtes compromis, les systèmes hébergés temporairement ou dans des pays particuliers conviennent parfaitement comme serveurs de vidage car ils offrent un contrôle élevé des données et permettent aux attaquants de personnaliser les transports utilisés par l'exfiltrateur. Dans le cas des services de partage des fichiers et d'hébergement dans le cloud, il est difficile pour les systèmes de défense de bloquer les hôtes de destination en raison de leur large distribution géographique. Toutefois, ces services possèdent généralement des méthodes aisément accessibles pour signaler les activités malveillantes et peuvent désactiver rapidement un compte malveillant. L'utilisation d'hôtes dédiés comme serveurs de vidage présente un inconvénient majeur : une fois identifiés, ces systèmes peuvent être facilement bloqués ou mis hors service. Pour y remédier, une des solutions possibles consiste à utiliser des algorithmes de génération de domaines. Ces algorithmes sont intégrés au logiciel malveillant infectant la société cible et génèrent une liste de noms de domaines prévisibles servant à identifier les serveurs de vidage ou de contrôle actifs. Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 22 Points marquants Transport de données Un transport de données est un protocole ou une méthode utilisés pour copier les données d'un emplacement ou d'un système à un autre, par exemple entre un exfiltrateur et le serveur de vidage, ou entre le terminal et l'agrégateur. Le tableau suivant récapitule les types de transport les plus fréquemment utilisés ainsi que leurs réseaux : Transport Description Interne HTTP/HTTPS La prévalence de HTTP dans les communications réseau en fait le protocole idéal pour dissimuler des données exfiltrées dans d'autres flux de trafic. Souvent utilisée pour l'exfiltration des données, cette méthode incorpore les commandes dans les en-têtes HTTP et les méthodes GET/POST/PUT. FTP Généralement disponible sur les serveurs d'entreprise, FTP est un protocole de transport très simple à utiliser avec des commandes système natives. USB Les périphériques de stockage USB sont souvent utilisés pour l'exfiltration dans des réseaux isolés. Certains logiciels malveillants recherchent une clé USB affectée d'un marqueur spécifique, puis copient les données à exfiltrer vers un secteur masqué de la clé. Lorsque la clé est insérée dans un autre système infecté connecté au réseau, le processus d'exfiltration démarre. Externe Les clés USB peuvent être également utilisées par des utilisateurs internes pour copier facilement d'importants volumes de données et les sortir physiquement de l'entreprise. DNS Des enregistrements DNS spécifiques, notamment des enregistrements TXT ou A et CNAME peuvent, dans une certaine mesure, stocker des données. Grâce au contrôle d'un domaine et d'un serveur de noms, un attaquant peut transférer des petits volumes de données en effectuant des recherches spécifiques sur le système chargé de l'exfiltration. Tor L'utilisation du réseau Tor tend à se généraliser. Il permet aux attaquants de publier des données exfiltrées sur des serveurs difficiles à identifier. Toutefois, le trafic Tor sur les réseaux d'entreprise est rarement légitime et peut donc être facilement détecté et bloqué. SMTP/E-mail Il est possible d'utiliser les serveurs SMTP appartenant ou non à la société pour envoyer des données à l'extérieur de l'entreprise sous la forme de pièces jointes ou dans le corps des messages e-mail. SMB SMB est un protocole très courant dans les environnements Windows et est parfois déjà activé sur certains systèmes. RDP RDP prend en charge différentes activités, dont le copier-coller et le partage des fichiers. Dans certains cas, les systèmes autorisant RDP peuvent être exposés à Internet. Transports personnalisés Les transports personnalisés sont parfois utilisés dans les communications du serveur de contrôle et les logiciels malveillants évolués. Pour être robuste, un transport nécessite d'importants efforts de développement et sa singularité facilite sa détection sur le réseau, ce qui fait pencher la balance en faveur d'un protocole de transport établi. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 23 Points marquants Les protocoles qui possèdent une version chiffrée (p. ex. HTTPS) peuvent compliquer la détection pour les entreprises. Nous avons observé une utilisation accrue, même si elle reste limitée, du chiffrement au niveau du transport. L'absence de chiffrement facilite la détection mais elle peut également faire courir un risque supplémentaire aux données car, dans certains cas, elles sont transmises via Internet. De nombreux transports exigent soit des informations d'identification valides, soit l'activation d'une forme quelconque d'accès ouvert/anonyme sur le serveur. Dès lors, si les attaquants souhaitent automatiser l'exfiltration, ils doivent laisser un nom d'utilisateur/mot de passe sur l'hôte compromis ou risquer que le système soit accédé à distance par une personne non autorisée. Manipulation de données La manipulation des données avant leur transfert peut contribuer à éviter la détection, à diminuer le temps de transfert et à augmenter le temps d'analyse. La manipulation des données avant leur transfert peut contribuer à éviter la détection, à diminuer le temps de transfert et à augmenter le temps d'analyse. Même si les données sont généralement manipulées lors de leur transfert via Internet, il arrive encore souvent qu'elles le soient au sein du réseau interne. Une fois les données d'origine manipulées, elles sont envoyées via le protocole de transport vers leur destination. Voici les techniques de manipulation des données généralement utilisées : Technique Description Compression La compression au format ZIP standard offre non seulement un certain degré de dissimulation, mais elle accélère également les transferts de fichiers. Segmentation Le fractionnement des données en petits blocs avant l'envoi permet de mêler le transfert aux activités réseau normales. Codage et obscurcissement La forme la plus courante de manipulation des données est l'algorithme de codage ou d'obscurcissement. À l'aide de techniques simples telles que l'exécution d'une opération XOR avec une clé statique, le codage en Base64 ou la conversion de chaque caractère au format hexadécimal, il est possible de manipuler juste assez les données pour éviter toute détection. Chiffrement Paradoxalement, le chiffrement n'est pas toujours utilisé au cours de l'exfiltration. Ce peut être dû au fait qu'il ralentit les performances ou qu'il ne se justifie pas vraiment. S'il est utilisé, il s'agira vraisemblablement d'un chiffrement RC4 ou AES. Conclusion Les informations numériques sont devenues une cible de prédilection pour les voleurs. Les données dérobées vont d'importantes bases de données du personnel, à la mémoire volatile des systèmes de point de vente. Dès que les défenseurs ajoutent une nouvelle couche de sécurité à leurs réseaux, les attaquants trouvent le moyen de retourner des systèmes éprouvés contre l'entreprise, faisant d'eux leurs complices. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 24 Points marquants Pour garder le contrôle de l'environnement d'entreprise, la première étape consiste à comprendre les auteurs d'attaques ainsi que leurs motivations et leurs techniques. Bien que l'exfiltration des données ne constitue qu'une des multiples phases d'une campagne globale, elle revêt une importance capitale tant pour l'attaquant que le défenseur, car le premier doit absolument la mener à bien et l'autre la bloquer. La mise en œuvre de stratégies et procédures efficaces associée au déploiement d'une protection pour les actifs et cibles de données critiques permet aux entreprises de hiérarchiser les mesures de sécurité à appliquer afin de traiter en priorité les systèmes les plus importants. Découvrez comment Intel Security peut vous aider à vous protéger contre cette menace. Stratégies et procédures recommandées Identifiez les sources de données. Procédez à une évaluation des risques en interrogeant les principales parties prenantes afin d'identifier les données sensibles de votre réseau et l'emplacement où elles sont hébergées. ■■ Contrôle de l'inventaire des actifs ■■ Architecture du réseau et des systèmes Envisagez d'utiliser un logiciel de découverte des données pour identifier les informations sensibles et leur emplacement. Déterminez les flux de données. Identifiez le flux des données sensibles qui quitte votre réseau ou circule sur celui-ci. ■■ Architecture du réseau et des systèmes Pensez à utiliser un logiciel de surveillance des flux de données en temps réel pour comprendre les mouvements de données. Identifiez les exigences en matière de conformité réglementaire et de confidentialité. Identifiez les impératifs réglementaires qui s'appliquent à votre entreprise et les types de contrôles de sécurité requis. Classifiez les données. Établissez une stratégie pour classifier les données par sensibilité, type et gravité. Affectez des propriétaires aux données. Vérifiez que vos données sont protégées. ■■ Stratégie de protection des données ■■ Stratégie de classification des données Élaborez un plan établissant les propriétaires des données et leurs responsabilités. ■■ Propriétaires des données ■■ Inventaire et maintenance des actifs de données Établissez une stratégie définissant les exigences de sécurité pour les données au repos et les données en mouvement. ■■ Stratégie de chiffrement des données Déployez un logiciel de prévention des fuites de données pour empêcher l'exfiltration non autorisée des données. Contrôlez l'accès aux données. Évaluez régulièrement le plan. Définissez un processus pour effectuer un suivi et autoriser l'accès aux données. ■■ Autorisations d'accès aux données ■■ Gestion des modifications Définissez un processus de gestion des risques liés aux données pour réévaluer chaque année les stratégies et les procédures. ■■ Gestion des risques Envisagez d'utiliser un logiciel de gestion des risques pour évaluer ceux-ci et gérer la conformité. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 25 Points marquants Séparer le vrai du faux en matière de logiciels malveillants tirant parti des processeurs graphiques — Craig Schmugar L'auteur remercie le groupe VPG (Visual and Parallel Computing Group) d'Intel pour sa contribution à l'article. Un processeur graphique, ou GPU (Graphics Processing Unit), est un composant matériel spécialisé conçu pour accélérer la création des images à restituer à l'écran. Le processeur graphique d'un ordinateur personnel est généralement installé sur une carte vidéo, sur la carte mère ou parfois intégré au processeur (CPU). La plupart des logiciels malveillants actuels sont conçus pour être lancés à partir de la mémoire système principale et s'exécuter sur le CPU. Comme il en est ainsi depuis des décennies, la plupart des outils de défense et d'investigation numérique basés sur l'hôte sont développés sur la base de ce postulat. Tout écart par rapport à cette norme mérite l'attention des professionnels de la sécurité des informations, ce qui a été le cas il y a quelques mois. Les attaques de malware exploitant les processeurs graphiques (GPU) existent depuis plusieurs années, mobilisant de temps à autre l'attention du secteur. En fait, ces logiciels malveillants sont actifs depuis au moins 4 ans sous la forme de chevaux de Troie conçus pour le minage de bitcoins. Ces menaces tirent parti du débit considérable du processeur graphique pour augmenter le « dividende » par système infecté. Voici peu, les processeurs graphiques ont suscité un regain d'intérêt, après la publication de trois projets de code de preuve de concept sur GitHub, le service d'hébergement de code le plus important au monde. Une équipe de programmeurs appelée « Team JellyFish » a publié trois projets de preuve de concept. Selon les auteurs, au lieu de simplement exploiter la puissance de traitement du processeur graphique, ce nouveau code utilise l'architecture du GPU comme instrument de contournement en exécutant du code et en stockant des données là où personne ne s'y attend. Vous trouverez ci-dessous un résumé des caractéristiques des logiciels malveillants, telles qu'exposées dans les trois projets publiés sur GitHub : Demon est décrit comme un enregistreur de frappe dissimulé dans le GPU et doté des fonctionnalités suivantes : ■■ Un programme de démarrage automatique du module du noyau du CPU localise la mémoire tampon clavier via un accès direct à la mémoire (DMA) dans la structure (struct) usb. ■■ La mémoire tampon du clavier est stockée dans le fichier userland. ■■ Le module de noyau se supprime automatiquement. ■■ OpenCL stocke la mémoire tampon clavier dans le GPU et supprime le fichier. JellyFish est décrit comme un rootkit Linux exécuté en mode utilisateur dans le GPU. L'exploitation du GPU offrirait les avantages suivants : ■■ ■■ ■■ ■■ Absence d'outils d'analyse du GPU en ligne Possibilité d'accéder à la mémoire hôte dédiée au CPU via un accès direct à la mémoire (DMA) Performances supérieures du GPU par rapport au CPU pour les calculs mathématiques Persistance après les redémarrages à chaud WIN_JELLY est décrit comme un outil d'accès distant au GPU conçu pour les systèmes Windows. Son principe reposerait sur un stockage persistant du code exécutable dans le GPU qui pourrait être mappé par la suite à l'espace utilisateur après un redémarrage. Résumé des notes sur les projets de preuve de concept concernant les attaques du GPU publiées sur GitHub Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 26 Points marquants De nombreux articles réitérant les déclarations des auteurs ont été publiés par la suite. Présentées hors contexte, celles-ci peuvent être facilement déformées pour imaginer une supermenace reposant sur le principe d'une exécution autonome et impossible à détecter par les systèmes de défense actuels. La réalité est quelque peu différente. Les affirmations de l'équipe JellyFish reposent principalement sur quatre points : Créé par NVIDIA, CUDA (Compute Unified Device Architecture) est une plate-forme de traitement parallèle et un modèle d'API permettant aux développeurs d'utiliser des cartes graphiques CUDA pour le traitement général. La plate-forme CUDA offre un accès direct au jeu d'instructions virtuel du GPU et aux éléments de traitement parallèle. ■■ Accès à la mémoire hôte dédiée au CPU à partir du GPU ■■ Suppression ultérieure des fichiers hôte du CPU ■■ Persistance après les redémarrages à chaud ■■ Absence d'outils d'analyse du GPU Pour vérifier la véracité des affirmations avancées, McAfee Labs a fait appel à l'expertise des membres du groupe VPG (Visual and Parallel Computing Group) d'Intel. Les réponses données ci-après concernent le domaine d'expertise d'Intel, à savoir la carte graphique intégrée et OpenCL, mais la plupart des informations s'appliquent également aux cartes graphiques autonomes et à la plate-forme CUDA de NVIDIA. Accès à la mémoire hôte dédiée au CPU à partir du GPU Par nature, les programmes qui accèdent au GPU exigent qu'un processus parent soit exécuté sur le CPU. Ce processus parent peut fonctionner de la même façon que d'autres menaces, à savoir qu'il lit et écrit en mémoire à l'aide de méthodes souvent surveillées ou bloquées par les produits de sécurité, mais l'un des avantages de l'utilisation du GPU pour cette tâche est de dissimuler les activités malveillantes et de contourner ces protections. Toutefois, pour distribuer les charges actives souvent associées aux logiciels malveillants qui utilisent des méthodes non conventionnelles et exploitent le GPU, la mémoire physique doit être mappée au GPU. En outre, l'accès au code sans privilèges élevés est limité aux pages de mémoire mappées à l'espace d'adressage virtuel d'un processus. Dès lors, il est indispensable d'avoir accès à l'anneau 0 pour mapper la mémoire critique du système d'exploitation au GPU et bénéficier d'un accès en lecture/écriture, une activité qui vient s'ajouter à l'empreinte laissée par le logiciel malveillant sur l'hôte et qui peut être détectée par les protections existantes du noyau. Ce qui nous amène au point suivant. Suppression ultérieure des fichiers hôte du CPU Dès qu'un programme est exécuté sur le GPU, les fichiers nécessaires à son installation peuvent être supprimés. Ils incluent le pilote du noyau responsable du mappage de la mémoire ainsi que le processus en mode utilisateur parent. Toutefois, à ce stade, le code exécuté sur le GPU est orphelin et, dans le cas des systèmes Microsoft Windows, il déclenche un processus de détection du délai d'expiration (TDR) et de restauration qui réinitialise la carte graphique. Sous Windows, le délai d'expiration par défaut est de deux secondes, même s'il est possible de le modifier. D'après les recommandations de Microsoft, la manipulation des paramètres du TDR doit être limitée aux tests et au débogage. Dès lors, toute modification de ces valeurs peut être considérée comme un comportement suspect susceptible d'être signalé ou bloqué par les produits de sécurité. En outre, l'exécution de charges de travail du GPU de longue durée ralentira l'interface utilisateur graphique, ce qui constitue un autre indice de l'existence d'un problème. Cette situation s'applique également aux autres systèmes d'exploitation. Pour surmonter ces obstacles, le code en mode utilisateur (même s'il est minime) doit rester en exécution, une activité qui peut être détectée par les solutions de protection pour terminaux. La seule exception à cet indicateur visuel de compromission concerne les systèmes d'exploitation sans interface ou équipés de plusieurs GPU. Dans un tel cas, l'impossibilité d'accéder au GPU peut passer inaperçue. Quoiqu'il en soit, la modification des valeurs TDR dans Windows restera la preuve d'un problème potentiel. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 27 Points marquants Persistance après les redémarrages à chaud En soi, la déclaration la plus discutable est la notion que le logiciel malveillant résidant dans le GPU peut persister après un redémarrage du système d'exploitation. La description de WIN_JELLY donnée dans GitHub affirme ceci (traduction libre) : « Son principe repose sur un stockage persistant du code exécutable dans le GPU qui peut être mappé par la suite à l'espace utilisateur après un redémarrage. » À première vue, une telle fonction peut effectivement sembler dangereuse d'un point de vue de la sécurité mais après analyse, la situation est moins inquiétante qu'il n'y paraît de prime abord. La « persistance » ne s'applique pas au code exécuté mais plutôt au stockage des données. Rappelez-vous du point précédent : par défaut, la présence d'un processus hôte est indispensable pour que le malware exploitant le GPU puisse continuer de s'exécuter. L'idée de persistance défendue ici est qu'une application hôte s'exécute au démarrage du système, récupère des données de la mémoire dédiée au GPU et mappe à nouveau ces données à l'espace utilisateur, ce qui est beaucoup moins inquiétant puisque le code malveillant exécuté en mode utilisateur doit lui aussi persister en dehors du GPU. Absence d'outils d'analyse du GPU Bien qu'un certain nombre d'outils permettent de surveiller les performances du GPU et de le déboguer, il en existe peu pour l'investigation numérique et l'analyse antimalware. Depuis toujours, ces outils ont été créés par nécessité ou pour optimiser une tâche de routine. Dans ce cas-ci, il serait effectivement utile d'avoir des outils d'analyse des menaces capables de comprendre plus facilement l'impact d'une menace sur le GPU. Toutefois, les produits de sécurité pour terminaux ne dépendent pas nécessairement de ce type d'outils pour identifier et classer les menaces car l'utilisation de ce vecteur d'attaque fournit d'autres indices. En résumé Les menaces ciblant le GPU sont effectivement préoccupantes, mais toutes les conditions ne sont pas encore réunies pour mener à bien ce type d'attaques. Certes, l'ingénierie inverse et l'analyse numérique de telles menaces sont plus complexes et difficiles que celles visant le seul CPU et il est possible qu'une infection puisse passer inaperçue pendant une période plus longue. En concevant un code malveillant dont une partie est exécutée ailleurs que dans le CPU et la mémoire hôte, la surface de détection est réduite, ce qui complique la tâche des défenses basées sur l'hôte. En revanche, cette surface de détection n'a pas complètement disparu. Il reste toujours des traces de l'activité malveillante, ce qui permet aux produits de sécurité des terminaux de détecter et de bloquer la menace. Les logiciels malveillants exploitant le GPU ne sont pas sans rappeler les rootkits du noyau Windows qui sévissaient il y a dix ans. Le rootkit du noyau nécessitait une exécution de code avec privilèges élevés. Une fois en cours d'exécution, le code pouvait dissimuler sa présence et les outils d'analyse des rootkits étaient plus limités. Il est désormais plus difficile que jamais pour un attaquant d'obtenir et d'exécuter du code avec privilèges élevés (ce qui est obligatoire pour les « supermenaces » hypothétiques ciblant le GPU). Les produits de sécurité ont intégré des fonctions de défense spécifiques aux rootkits et Microsoft a distribué une série de mesures de protection du noyau, notamment PatchGuard, la signature obligatoire des pilotes, ELAM (Early Launch Anti-Malware), le démarrage sécurisé et d'autres fonctions de protection. Bon nombre de ces mécanismes de sécurité jouent un rôle dans le blocage des attaques du GPU déployées via le noyau Windows. Ainsi, la toute nouvelle fonction Device Guard intégrée à Windows 10 affecte la viabilité des logiciels malveillants exploitant le GPU sur certains systèmes. Cette fonction tire parti de l'unité de gestion de mémoire d'entrée/sortie (IOMMU), soit dans le cas d'Intel, VT-d (Virtualization Technology for Directed I/O), intégrée au matériel pour permettre aux administrateurs de verrouiller les terminaux et d'autoriser uniquement l'exécution des applications signées et approuvées par Microsoft. Même si cette fonctionnalité n'est disponible que dans certaines circonstances, elle offre une protection supplémentaire aux professionnels chargés de sécuriser les informations critiques. Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 28 Points marquants Découvrez comment Intel Security peut vous aider à vous protéger contre cette menace. Il ne s'agit pas ici de réfuter la viabilité des attaques ciblant le GPU, mais simplement de fournir un contexte de la menace et des mécanismes de défense existants. Il est clair que les attaquants et les professionnels de la sécurité vont encore progresser dans ce domaine. À tout le moins, l'attention récente portée à ce type de menaces a motivé la communauté de la sécurité à réexaminer son niveau de protection actuel et à trouver des moyens pour l'améliorer. Pratiques sûres pour la protection contre ce type d'attaques Pour protéger les systèmes contre les attaques du GPU, McAfee Labs recommande ce qui suit : ■■ ■■ ■■ ■■ ■■ Activez les mises à jour automatiques du système d'exploitation ou téléchargez régulièrement ces mises à jour afin que vos systèmes d'exploitation bénéficient en permanence des derniers correctifs requis pour corriger leurs vulnérabilités connues. Installez les correctifs d'autres éditeurs de logiciels dès qu'ils sont disponibles. Installez un logiciel de sécurité complet sur tous les terminaux et mettez les signatures antivirus à jour. Envisagez de mettre en œuvre les listes blanches d'applications pour bloquer l'exécution des applications non autorisées. Évitez dans la mesure du possible d'exécuter des applications en mode administrateur. Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 29 Statistiques sur les menaces Menaces ciblant les équipements mobiles Logiciels malveillants Menaces web Donner votre avis Statistiques sur les menaces Menaces ciblant les équipements mobiles Nouveaux logiciels sur mobiles Newmalveillants Mobile Malware 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 3e trim. 4e trim. 2013 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Nombre total de logiciels sur mobiles Total malveillants Mobile Malware 9 000 000 Le nombre total d'échantillons de logiciels malveillants sur mobiles a augmenté de 17 % au cours du deuxième trimestre. 8 000 000 7 000 000 6 000 000 5 000 000 4 000 000 3 000 000 2 000 000 1 000 000 0 3e trim. 4e trim. 2013 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 31 Statistiques sur les menaces Taux d'infection par des logiciels malveillants sur mobiles par région — 2e trim. Regional Mobile Malware Infection Rates2015 in Q2 2015 12 % Les taux d'infection des mobiles par malware ont diminué d'environ 1 % par région au cours du trimestre, à l'exception de l'Amérique du Nord, qui a connu une baisse de près de 4 % et de l'Afrique, dont le taux est resté inchangé. 10 % 8% 6% 4% 2% 0% Afrique Asie Australie Europe Amérique du Nord Amérique du Sud Taux d'infection par des logiciels malveillants sur mobiles au niveau mondial Global Mobile Malware Infection Rates 30 % 25 % 20 % 15 % 10 % 5% 0% 4e trim. 2013 1er trim. 2e trim. 2014 3e trim. 4e trim. 1er trim. 2e trim. 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 32 Statistiques sur les menaces Logiciels malveillants Nouveaux logiciels malveillants New Malware 60 000 000 50 000 000 40 000 000 30 000 000 20 000 000 10 000 000 0 3e trim. 4e trim. 2013 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Nombre total de logiciels malveillants Total Malware 500 000 000 La collection de logiciels malveillants de McAfee Labs a progressé de 12% ce dernier trimestre. Elle contient aujourd'hui plus de 433 millions d'échantillons. 450 000 000 400 000 000 350 000 000 300 000 000 250 000 000 200 000 000 150 000 000 100 000 000 50 000 000 0 3e trim. 4e trim. 2013 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 33 Statistiques sur les menaces New Rootkit Malware Nouveaux rootkits 120 000 100 000 80 000 60 000 40 000 20 000 0 3e trim. 4e trim. 2013 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Malware NombreTotal totalRootkit de rootkits 1 800 000 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 3e trim. 4e trim. 2013 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 34 Statistiques sur les menaces Nouveaux logiciels de demande de rançon (ransomware) New Ransomware 1 400 000 Le ransomware poursuit sa progression rapide, avec un nombre de nouveaux échantillons en hausse de 58 % au 2e trimestre. Comme nous l'avions signalé dans le Rapport de McAfee Labs sur le paysage des menaces — Mai 2015, nous attribuons cette augmentation aux nouvelles familles CTB-Locker, CryptoWall et d'autres qui connaissent un essor rapide. Le nombre total d'échantillons de ransomware a augmenté de 127 % au cours de l'année dernière. 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 3e trim. 4e trim. 2013 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Ransomware Nombre total de logiciels de Total demande de rançon (ransomware) 4 500 000 4 000 000 3 500 000 3 000 000 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 3e trim. 4e trim. 2013 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 35 Statistiques sur les menaces Nouveaux fichiers binaires Signed signés malveillants New Malicious Binaries 3 000 000 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 3e trim. 4e trim. 2013 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Nombre total deTotal fichiers binaires signés malveillants Malicious Signed Binaries 20 000 000 18 000 000 16 000 000 14 000 000 12 000 000 10 000 000 8 000 000 6 000 000 4 000 000 2 000 000 0 3e trim. 4e trim. 2013 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 36 Statistiques sur les menaces Menaces web Suspect URLs Nouvelles New URL suspectes 35 000 000 30 000 000 25 000 000 20 000 000 15 000 000 10 000 000 5 000 000 0 3e trim. 4e trim. 2013 URL 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Domaines associés Newde Phishing URLs Nouvelles URL phishing 3 000 000 2 500 000 2 000 000 1 500 000 1 000 000 500 000 0 3e trim. 4e trim. 2013 URL 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Domaines associés Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 37 Statistiques sur les menaces New de Spam URLs Nouvelles URL spam 2 000 000 Les nouvelles URL associées au spam et leurs domaines ont progressé de 380 % au cours du 2e trimestre. Cette augmentation est due pour une large part aux centaines de milliers de domaines séquentiels ou générés automatiquement que nous avons identifiés après avoir étoffé notre collection de listes RBL (Realtime Blackhole Lists). 1 800 000 1 600 000 1 400 000 1 200 000 1 000 000 800 000 600 000 400 000 200 000 0 3e trim. 4e trim. 2013 URL 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. 2015 Domaines associés Volume de spam et d'e-mails dans le monde Global Spam Email Volume (trillions of messages) (enand milliers de milliards de messages) 12 10 8 6 4 2 0 3e trim. 4e trim. 2013 Spam 1er trim. 2e trim. 3e trim. 2014 4e trim. 1er trim. 2e trim. E-mails légitimes Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 38 Statistiques sur les menaces E-mails de spam des Top 10 principaux Spamémanant Emails From 10 Botnetsréseaux de robots (en millions de messages) (millions of messages) 1 400 Le 2 trimestre confirme la tendance à la baisse du volume de spam généré par les réseaux de robots, essentiellement en raison de l'inactivité du botnet Kelihos. Une fois encore, Slenfbot revendique la première place, suivi de près par Gamut et Cutwail respectivement en 2e et 3e position. Le spam de Slenfbot de ce trimestre portait essentiellement sur l'amélioration des performances sexuelles pour l'homme, avec une ligne d'objet récurrente « Tips to nights of happiness » (Conseils pour des nuits de rêve). e 1 200 1 000 800 600 400 200 0 3e trim. 4e trim. 2013 1er trim. 2e trim. 3e trim. 2014 4e trim. Kelihos Gamut Asprox Cutwail Autres Stealrat Slenfbot Darkmailer Dyre 1er trim. 2e trim. 2015 Darkmailer 2 Worldwide Botnet Prevalence Prévalence des réseaux de robots (bonets) dans le monde Wapomi 22,0 % 19,9 % Muieblackcat Ramnit 2,0 % Sality 2,7 % 18,4 % 5,1 % Darkness Maazben 7,5 % 10,2 % 12,2 % Dorifel H-Worm Autres Partager ce rapport Rapport de McAfee Labs sur le paysage des menaces — Août 2015 | 39 À propos d'Intel Security Commentaires et suggestions. Pour nous aider à améliorer encore les prochaines éditions de ce rapport, nous aimerions connaître votre opinion. Si vous souhaitez nous faire part de votre impressions, cliquez ici pour participer à une petite enquête sur nos rapports. Elle ne vous prendra pas plus de cinq minutes. McAfee fait désormais partie de la division Intel Security. Avec sa stratégie Security Connected, son approche innovante de la sécurité optimisée par le matériel et son réseau mondial de renseignements sur les menaces Global Threat Intelligence, Intel Security met tout en œuvre pour proposer des solutions et des services de sécurité proactifs et éprouvés, qui assurent la protection des systèmes, réseaux et équipements mobiles des entreprises et des particuliers du monde entier. Intel Security associe le savoir-faire et l'expérience de McAfee aux innovations et aux performances reconnues d'Intel pour faire de la sécurité un élément essentiel de chaque architecture et plate-forme informatique. La mission d'Intel Security est de permettre à chacun de vivre et de travailler en toute confiance et en toute sécurité dans le monde numérique. Suivre McAfee Labs www.intelsecurity.com 1. https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_ Top_Threats_in_2013.pdf McAfee. Part of Intel Security. Tour Franklin, La Défense 8 92042 Paris La Défense Cedex France +33 1 47 62 56 00 (standard) www.intelsecurity.com Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de McAfee. Les informations présentées ici peuvent faire l’objet de modifications sans préavis et sont fournies sans garantie ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques. Intel et les logos Intel et McAfee sont des marques commerciales d'Intel Corporation ou de McAfee, Inc. aux États-Unis et/ou dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Copyright © 2015 McAfee, Inc. 62058rpt_qtr-q2_0815
© Copyright 2024