Un nombre record d'attaques via le Web au premier semestre 2007

Sophos, un des leaders mondiaux de la sécurité et du contrôle des réseaux, présente les conclusions de son étude sur l’activité du cybercrime dans le monde au cours du premier semestre 2007. Parmi ses principales conclusions, ce rapport met en lumière une forte hausse des menaces issues du Web, ainsi que les principaux pays et types de serveurs hébergeant des sites infectés.

Le premier semestre 2007 a connu une explosion des menaces diffusées via le Web, qui est désormais devenu le vecteur d’attaque préféré des cybercriminels animés par des motivations financières. Le réseau mondial de stations de surveillance de Sophos a en effet identifié au cours du seul mois de juin une moyenne de 29 700 pages Web infectées par jour, alors que ce nombre n’était que de 5 000 au début de l’année.

Sophos bloque l’accès à des millions de pages Web pour protéger les utilisateurs contre les programmes malveillants et les contenus inappropriés. En se basant sur un échantillon d’un million de ces pages, les experts de la société ont déterminé que 28,8% d’entre elles hébergent du malware et que 28,0% sont bloquées à cause de leur contenu pornographique ou de jeux d’argent. 19,4% sont des pages créées par des spammeurs et 4,3% sont classées comme sites illégaux, lorsqu’elles sont par exemple identifiées comme sites de phishing ou de vente de logiciels piratés. Parmi les sites contenant du code malveillant, un sur cinq seulement a été conçu spécifiquement dans ce but, tous les autres étant des pages légitimes infectées par les pirates.

Les serveurs Apache sont les plus compromis

Les cybercriminels peuvent rapidement et facilement contaminer un grand nombre de pages Web à partir d’un unique fichier infecté partagé par de multiples sites, sans rapport les uns avec les autres mais tous hébergés par le même serveur Web.

Le classement des principaux types de serveurs affectés par les menaces Web au cours du premier semestre 2007 est le suivant :

1. Apache 51,0%
2. Microsoft IIS 6 34,0%
3. Microsoft IIS 5 9,0%
4. nginx 3,0%

Autres : 3,0%

Le fait que plus de la moitié du total des pages Web infectées dans le monde soient hébergées sur des serveurs Apache démontre que ce type d’infection n’est pas uniquement un problème affectant Microsoft. Il y a quelques mois, lors d’une attaque mondiale de type ObfJS, visant des sites légitimes pour leur faire diffuser du code malveillant, 98% des serveurs affectés utilisaient Apache, dont un grand nombre sur des plates-formes UNIX plutôt que Windows.

« Avec 80% des pages Web infectées découvertes sur des sites légitimes, on peut se demander pourquoi les hébergeurs Web ne prennent pas tous les mesures nécessaires pour protéger efficacement leurs serveurs », commente Michel Lanaspèze, Directeur Marketing et Communication de Sophos France et Europe du Sud. « De simples précautions, comme avoir correctifs de sécurité à jour, contribueraient pourtant à limiter considérablement le problème. L’utilisation d’Apache sur un serveur Web ne met pas à l’abri des pirates qui cherchent à implanter des programmes malveillants sur les sites. »

Les principales menaces issues du Web en 2007

Pour le premier semestre 2007, le classement des dix principales menaces issues du Web et hébergées par des sites infectés est le suivant :

1. Mal/Iframe 49,2%
2. Troj/Fujif 7,9%
3. JS/EncIFra 7,3%
4. Troj/Psyme 8,3%
5. Troj/Decdec 6,9%
6. Troj/Ifradv 4,1%
7. Mal/ObfJS 2,5%
8. Mal/Packer 1,5%
9. VBS/Redlof 1,1%
10. Mal/FunDF 0,9%

Autres : 10,3%

Mal/Iframe, qui agit en injectant du code malveillant dans les pages Web, domine largement ce classement avec près de la moitié des URL infectées dans le monde. Il ne montre d’ailleurs aucun signe d’affaiblissement : lors d’une récente attaque, plus de 10 000 pages ont été atteintes, dont une grande majorité de sites légitimes hébergés par un des plus importants FAI d’Italie.

« Mal/Iframe est un cas d’école de la manière dont une attaque propagée via le Web peut viser et exploiter des sites vulnérables aux contenus les plus divers », poursuit Michel Lanaspèze. « Les solutions de sécurisation du Web doivent aller au-delà du blocage des sites en fonction de leur catégorie. Un site de jeux d’argent peut sembler constituer une menace plus importante, mais ce sont parfois les pages plus innocentes qui représentent le plus grand danger. »

La Chine héberge le plus grand nombre de pages infectées

Le classement des dix principaux pays hébergeant des pages Web infectées au cours du premier semestre 2007 est le suivant :

1. Chine 53,9%
2. Etats-Unis 27,2%
3. Russie 4,5%
4. Allemagne 3,5%
5. Ukraine 1,2%
6. France 1,1%
7. Canada 0,8%
8. Royaume-Uni 0,7%
9= Taiwan 0,6%
9= Corée du Sud 0,6%
Autres pays : 5,9%

La Chine qui hébergeait à la fin de 2006 un peu plus du tiers des programmes malveillants, a désormais dépassé les Etats-Unis. Au cours des six premiers mois de 2007, le pays a été responsable de plus de la moitié de l’ensemble des menaces Web répertoriées par Sophos. Cette progression spectaculaire dans le classement est due avant tout à une large diffusion de Mal/Iframe sur les pages Web chinoises : plus de 80% des pages Web compromises en Chine sont infectées par ce programme.

Les pirates se tournent vers les clés USB et les fichiers PDF

Le premier semestre 2007 a connu une résurgence de la diffusion de logiciels malveillants via les périphériques de lecture-écriture externes : il ne s’agit plus des disquettes du début des années 1990, mais des clés USB. Par ce moyen, les pirates peuvent profiter de la fonction « auto-run » que certains utilisateurs activent sur leur PC Windows pour faire s’exécuter automatiquement un programme dès que la clé est insérée. Le ver LiarVB-A, qui diffuse des informations sur le Sida et le VIH via les clés USB, est un bon exemple.

« Les clés USB inquiètent de plus en plus les entreprises : elles sont produites en masse, peu coûteuses, et constituent donc pour le marketing un article de choix à offrir à aux clients », déclare Michel Lanaspèze. « Il convient donc d’être prudent lorsqu’on insère une clé inconnue sur son ordinateur, même si elle est neuve. »

Autre tactique employée par les cybercriminels en 2007 : l’utilisation de fichiers joints à des messages de spam. Afin d’éviter la détection par les solutions de filtrage les moins performantes, les spammeurs utilisent désormais fréquemment des fichiers PDF contenant une version graphique de leurs messages commerciaux, dans l’espoir d’attirer de nouveaux clients.

Les courriels demeurent une source d’inquiétude

Les menaces diffusées par courrier électronique continuent à préoccuper les entreprises. Bien qu’elles soient aujourd’hui éclipsées par les attaques via le Web, leur nombre moyen est resté constant depuis un an. La proportion de courriels infectés au cours du premier semestre 2007 est de un sur 337, soit 0,29% de l’ensemble des messages échangés. Plus de 8 000 nouvelles versions de Mal/HckPk ont ainsi été détectées en 2007, utilisées pour camoufler des attaques massives par courriels telles que Dref et Dorf.

De nombreuses informations complémentaires sur les dernières tendances en matière de malware, de spyware et de spam sont disponibles dans le dernier Rapport sur le Sécurité de Sophos, téléchargeable à l’adresse : www.sophos.com/reportjul2007

Une version spécifiquement destinée aux journalistes est également disponible à l’adresse : WWW.sophos.com/securityreportjul2007;

A propos de Sophos.
Sophos est un des plus grands éditeurs mondiaux de solutions de gestion intégrée des menaces. La société, d'origine britannique, protège les entreprises et les administrations contre les virus connus ou inconnus, les spywares, les intrusions, les applications indésirables, le spam et le non-respect des règles de sécurité. Grâce à ses 20 ans d’expérience et à son réseau mondial de centres d’analyse des menaces, Sophos est reconnu pour offrir aux utilisateurs le plus haut niveau de protection et de satisfaction client du marché. Ses produits sont vendus et supportés dans plus de 150 pays et protègent plus de 100 millions d'utilisateurs. http://www.sophos.fr