Les instruments pour frauder les internautes sont de plus en plus sophistiqués, discrets et « implantés » en douce lors de visites sur des sites de confiance, rapporte la firme de produits de sécurité Symantec dans son rapport sur l’état des menaces Internet. Bienvenue dans le « pirate business ».
On connaît les fameux discours annuels sur l’état de l’Union des présidents des États-Unis. Au cours de cet événement, le président en exercice présente solennellement devant les deux chambres un bilan de la situation et ses projets pour l’année qui s’amorce. L’entreprise Symantec, spécialisée dans la protection informatique, agit de façon similaire en publiant deux fois l’an un Rapport sur les menaces Internet.
Ce document récapitule « l’ensemble de l’activité malicieuse enregistrée pendant six mois [et] comprend une analyse des attaques touchant les réseaux, un récapitulatif des vulnérabilités connues et une liste des principaux codes malicieux répertoriés. Les conclusions du rapport informent sur les menaces imminentes et les tendances en cours. »
Fidèle aux précédents rapports, celui qui vient d’être publié, et qui couvre les six premiers mois de 2007, fourmille d’informations et de tableaux servant à décrire en long et en large les activités des réseaux de cybercriminels. Car c’est bien de groupes organisés qu’il s’agit et non plus d’individus uniquement motivés par le désir de « faire du mal » et de paralyser des systèmes. Au contraire, la « pègre virtuelle » s’intéresse uniquement à l’argent et tente donc de se faire discrète; par contre, elle ne lésine pas sur les moyens pour lancer des attaques, lesquelles se déclinent désormais en plusieurs étapes et en combinant divers instruments (vers, virus, chevaux de Troie, hameçons, etc.).
Ce professionnalisme repose sur des instruments sophistiqués pour lesquels il existe même un marché (noir bien entendu). Ainsi, la trousse de logiciels malveillants Mpack – qui aurait permis à ses utilisateurs de frauder quelque 500 000 victimes – était négociée sur Internet à un prix avoisinant les 1 000 $ en mai dernier.
Attendre que la proie se présente
Le douzième rapport de Symantec sur les menaces Internet pourrait être ainsi résumé : les fraudeurs ne tentent plus de pénétrer directement dans un ordinateur, mais attendent que des victimes se présentent pour les infecter, les espionner et les frauder. Grosso modo, le système fonctionne ainsi : on, c’est-à-dire le pirate, installe sur un serveur Web un outil qui servira ensuite à infecter des visiteurs en exploitant une vulnérabilité du fureteur du visiteur. Une fois installé, le code malicieux transmettra des informations confidentielles (numéros de carte de crédit, séquence de touches tapées sur un clavier, etc.) ou prendra le contrôle de l’ordinateur pour le transformer en zombi et l’intégrer à un réseau criminel…
C’est ainsi que les fraudeurs se protègent : les « crimes » sont apparemment commis par des victimes souvent situées à des milliers de kilomètres. Symantec indique par exemple que 29 % des ordinateurs transformés en zombis sont en Chine, mais que ceux qui les contrôlent sont souvent situés aux… États-Unis. Pourquoi? Parce que les Chinois – c’est un secret de polichinelle – utilisent beaucoup de logiciels piratés pour lesquels il n’est pas possible d’obtenir de mises à jour de sécurité; les ordinateurs qui les contiennent sont donc plus vulnérables. CQFD.
Dean Turner, directeur du Symantec Global Intelligence Network de Calgary et rédacteur principal du rapport sur les menaces Internet, souligne le haut degré de professionnalisation des instruments utilisés par les cybercriminels. Les « kits » malicieux sont, explique-t-il, « faciles à utiliser : on écrit quelques lignes de code et hop c’est parti! » Mieux… ou pire : ces kits sont intelligents et vont envoyer tel ou tel code malicieux selon le fureteur et le système d’exploitation du visiteur.
Des vulnérabilités non corrigées
Grâce à sa surveillance continue d’Internet, aux informations reliées aux attaques contre ses millions de clients et aux 40 000 « sondes » de ses réseaux DeepSight Threat Management System et Managed Security Services, Symantec possède une solide banque de données sur les vulnérabilités des applications informatiques, particulièrement les fureteurs. Or, que constate Symantec? Que de nombreuses vulnérabilités ne sont pas corrigées par négligence ou parce qu’elles sont considérées comme peu importantes. C’est une erreur, croit Dean Turner, qui indique, évoquant les attaques par paliers, que le premier niveau de ces dernières est régulièrement fait via une vulnérabilité dite secondaire…
Si le nombre de vulnérabilités découvertes au cours des six premiers mois de 2007 est moins élevé qu’au cours des six derniers de 2006, il reste que Symantec constate qu’il y en a encore beaucoup. Ainsi, de janvier à juin, 39 concernaient Internet Explorer, 34 les fureteurs de Mozilla, 25 Apple Safari et 7 pour Opera.
Pour les modules complémentaires (plug-in), le nombre total s’élève à… 237! Pour ces derniers, le grand coupable est… Microsoft. Pourquoi? Parce que 89 % des vulnérabilités reliées aux modules complémentaires concernaient les composants ActiveX d’Internet Explorer (rappelons que ces composants, s’ils permettent d’intégrer du son et des animations dans une page Web vue sur un système Windows, ils sont « délicats », car ils constituent des programmes exécutés à partir du Web).
Quoi qu’il en soit de son fureteur et de son OS, il faut conclure du dernier rapport de Symantec que le danger est omniprésent, protéiforme et qu’il est impératif de se protéger. Si Internet constitue quelquefois un jardin de roses, il ne faut pas oublier qu’il comporte des épines…
