L'évolution du paysage des

programmes malveillants et

des menaces (analyse portant

sur une période de 10 ans)

Rapport sur les données de sécurité Microsoft : édition spéciale

Février 2012

ii

RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT : ÉDITION SPÉCIALE

Ce document est fourni à titre informatif uniquement. MICROSOFT N'APPORTE AUCUNE GARANTIE,

EXPRESSE, IMPLICITE OU LÉGALE, QUANT AUX INFORMATIONS REPRISES DANS CE DOCUMENT.

Ce document est fourni « en l'état ». Les informations et les avis qu'il contient, y compris les URL

et autres références à des sites Web Internet, pourront faire l'objet de modifications sans préavis.

Vous assumez tous les risques liés à son utilisation.

Copyright © 2012 Microsoft Corporation. Tous droits réservés.

Les noms de produits et de sociétés réels mentionnés dans ce document sont des marques

de leurs propriétaires respectifs.

Auteurs et collaborateurs

BILL BARLOWE – Centre de réponse aux problèmes de sécurité Microsoft

JOE BLACKBIRD – Centre de protection Microsoft contre les programmes malveillants

WEIJUAN SHI DAVIS – Windows Product Management Consumer

JOE FAULHABER – Centre de protection Microsoft contre les programmes malveillants

HEATHER GOUDEY – Centre de protection Microsoft contre les programmes malveillants

PAUL HENRY – Wadeware LLC

JEFF JONES – Microsoft Trustworthy Computing

JIMMY KUO – Centre de protection Microsoft contre les programmes malveillants

MARC LAURICELLA – Microsoft Trustworthy Computing

KEN MALCOMSON – Microsoft Trustworthy Computing

NAM NG – Microsoft Trustworthy Computing

HILDA LARINA RAGRAGIO – Centre de protection Microsoft contre les programmes malveillants

TIM RAINS – Microsoft Trustworthy Computing

ELIZABETH SCOTT – Centre de réponse aux problèmes de sécurité Microsoft

JASMINE SESSO – Centre de protection Microsoft contre les programmes malveillants

JOANNA SHARPE – Microsoft Trustworthy Computing

FRANK SIMORJAY – Microsoft Trustworthy Computing

HOLLY STEWART – Centre de protection Microsoft contre les programmes malveillants

STEVE WACKER – Wadeware LLC

En mémoire de TAREQ SAADE

iii

iii

Sommaire Avant-propos ....................................................................................................................... v

Champ d'application ........................................................................................................ v

Période de référence ....................................................................................................... v

Conventions ..................................................................................................................... v

Introduction ........................................................................................................................ 1

Informatique à usage personnel en 2002 et de nos jours .................................................. 2

Informatique à usage personnel ..................................................................................... 2

Informatique mobile ....................................................................................................... 2

Services en ligne (prédécesseurs du Cloud Computing) ................................................. 3

Origines des programmes malveillants .............................................................................. 4

Initiative Microsoft Trustworthy Computing (environnement informatique fiable) ......... 6

2002-2003 ....................................................................................................................... 7

2004 ................................................................................................................................ 8

La criminalisation des programmes malveillants ........................................................... 8

2005 ................................................................................................................................ 8

Vulnérabilités .................................................................................................................... 11

Une décennie de maturation ........................................................................................ 11

Divulgations de vulnérabilités sur tout le secteur ........................................................ 12

Niveau de gravité des vulnérabilités ............................................................................. 14

Divulgations matérielles et logicielles .......................................................................... 15

Divulgations de vulnérabilités concernant les systèmes d'exploitation ....................... 17

Divulgations de vulnérabilités concernant les applications ......................................... 17

Exploitation des tendances et des bulletins de sécurité .................................................. 18

L'état des logiciels malveillants aujourd'hui ..................................................................... 22

Tendances des programmes malveillants et potentiellement indésirables ..................... 24

Évolution des menaces au fil du temps ........................................................................ 24

Menaces différentes à des moments différents ........................................................... 28

iv

Catégories de menace par localisation ............................................................................. 32

Données de sécurité 2011 ............................................................................................ 32

Leçons à tirer des pays/régions les moins infectés ...................................................... 35

Windows Update et Microsoft Update ............................................................................. 37

Conclusion ......................................................................................................................... 39

Annexe A : Technologies de protection informatique et restrictions .............................. 40

Annexe B : Familles de menaces mentionnées dans ce rapport ...................................... 41

v

v

Avant-propos

Champ d'application

Le Rapport sur les données de sécurité de Microsoft (Microsoft Security Intelligence Report, SIR)

s'intéresse aux vulnérabilités et attaques logicielles, aux menaces de code malveillant et aux

programmes malveillants potentiellement indésirables. Les rapports précédents, ainsi que les

ressources associées, peuvent être téléchargés à l'adresse suivante www.microsoft.com/sir.

Nous espérons que vous trouverez dans cette édition spéciale du Rapport sur les données

de sécurité toutes les données, toutes les informations et tous les conseils qui vous aideront

à protéger votre organisation, vos applications, ainsi que leurs utilisateurs.

Période de référence

Cette édition spéciale du Rapport sur les données de sécurité présente des informations

condensées des 10 dernières années. Dans la mesure du possible, ce rapport intègre des données

conjoncturelles couvrant la totalité de la période de 10 ans. Par ailleurs, des données portant sur

des périodes plus courtes sont également reprises dans ce rapport. En règle générale, du fait que

les divulgations de vulnérabilités soient très inégales d'un trimestre à l'autre, et étant donné que

celles-ci se produisent souvent de manière disproportionnée à certaines périodes de l'année, les

statistiques les concernant sont présentées sur une base semestrielle, comme cela a été le cas

dans les derniers volumes du Rapport sur les données de sécurité.

Dans ce rapport, les périodes semestrielles et trimestrielles sont référencées suivant le

format nSaa ou nTaa, où aa représente l'année civile et n désigne le semestre ou le trimestre.

Par exemple, 1S11 représente le 1er semestre 2011 (du 1er janvier au 30 juin) et 2T11 désigne

le 2e trimestre 2011 (du 1er avril au 30 juin). Pour éviter tout risque de confusion, faites attention

à la période de référence des statistiques mentionnées dans ce rapport.

Conventions

Ce rapport utilise la convention d'affectation de nom du Centre de protection Microsoft

contre les programmes malveillants pour les familles de programmes malveillants et de logiciels

potentiellement indésirables, ainsi que pour leurs variantes. Pour plus d'informations sur cette

convention, reportez-vous à la page Microsoft Malware Protection Center Naming Standards

(Normes de nomination du centre de protection contre les programmes malveillants) sur le site

Web du Centre de protection Microsoft contre les programmes malveillants.

Introduction

Internet ayant connu un essor au cours des 10 dernières années, les programmes (ou logiciels)

malveillants ont évolué et gagné en complexité. Les premiers types de programmes malveillants

cherchaient à générer des attaques lourdes de conséquences. Ils se montrent désormais de plus en

plus pernicieux et s'orientent vers le vol et d'autres activités illicites. Les organisations s'inquiètent

davantage des risques posés par les programmes malveillants. Avant 2002, la connectivité Internet

restait l'exception à la règle pour nombre d'entre elles. Elle a rapidement rejoint les sujets

d'inquiétude à l'aube du 21e siècle.

Outre les ordinateurs et les réseaux des organisations, peu importe leur taille, la

connectivité Internet concerne désormais également d'autres appareils, tels que des consoles

de jeux et les smartphones. Étant donné l'évolutivité des modèles informatiques, il est vraiment

devenu difficile de protéger les organisations, les gouvernements et les citoyens contre les

programmes malveillants.

L'initiative Trustworthy Computing de Microsoft pour un environnement informatique fiable,

créée en 2002, est à l'origine de la publication du Rapport sur les données de sécurité Microsoft

visant à aider les clients et toute autre partie intéressée à se tenir informés de l'évolution du

paysage des menaces. Le Rapport sur les données de sécurité Microsoft fournit des données

complètes sur les menaces dans le monde entier.

2

Informatique à usage personnel en 2002 et de nos jours

Malgré l'émergence des programmes malveillants et d'autres menaces importantes, les utilisateurs

d'ordinateurs ont continué à profiter des avantages issus de l'innovation technologique au cours

des 10 dernières années. Cette section dresse le bilan comparatif de la situation du secteur

informatique en 2002 et en 2012 dans les trois domaines suivants : l'informatique à usage

personnel, l'informatique mobile et les services en ligne (prédécesseurs du Cloud Computing).

Informatique à usage personnel

Jusqu'en 2002, les processeurs des ordinateurs utilisaient une architecture à cœur unique ;

leur vitesse de traitement venait juste de dépasser le seuil des 2 GHz. 64 Mo de mémoire

RAM étaient nécessaires sous Windows XP, commercialisé fin 2001, mais il était préférable

de disposer de 128 Mo ; la configuration la plus courante étant de 512 Mo. La taille des

disques durs atteignait les 120 Go, et les écrans LCD étaient de plus en plus prisés. La

connectivité USB pour les périphériques était répandue, mais la spécification USB 2.0, la plus

rapide à ce jour, venait seulement d'être établie, et n'était donc pas disponible à l'époque.

En ce début d'année 2012, les processeurs multicœur sont monnaie courante, la vitesse

dépasse les 4 GHz, soit une fréquence nettement plus élevée qu'en 2002. 1 Go de mémoire

RAM, de préférence 2 Go, est nécessaire sous Windows 7, commercialisé en 2009. Les disques

durs affichent généralement une capacité de 600 Go, soit cinq fois plus qu'en 2002, pour

atteindre 1 To, voire davantage. Vous pouvez acheter un écran 23 pouces pour moins de 200 $

aux États-Unis, et les écrans LED, dont la technologie est plus avancée que les écrans LCD, sont

de plus en plus présents sur le marché. La technologie de connectivité USB 3.0 fait son apparition,

mais la spécification USB 2.0 reste la plus répandue.

Informatique mobile

En 2002, les processeurs d'ordinateurs portables les plus rapides dépassaient à peine la barre

des 1 GHz. La configuration courante était de 512 Mo de mémoire RAM et d'un disque dur

d'une capacité comprise entre de 20 Go et 30 Go. Les portables étaient généralement équipés

d'un lecteur de CD-ROM et très rarement d'un lecteur combinant DVD et CD-RW. Des progrès

restaient à réaliser en matière de qualité sonore et d'écrans HD (haute-définition), et les

Smartphones n'ont fait leur entrée qu'en 2005.

3

3

En 2012, les processeurs des ordinateurs portables sont trois fois plus rapides qu'en 2002,

et il est courant de rencontres des fréquences d'horloge de 3 GHz, ou plus. La mémoire vive

est généralement affiche également entre 2 Go et 4 Go ; soit un volume de 4 à 8 fois supérieur

à 2002. Les ordinateurs portables haut de gamme ont quant à eux une mémoire vive de 8 Go.

Les disques durs standard offrent une capacité comprise entre 500 et 600 Go, soit un volume

environ 25 fois supérieur à ceux de 2002, sans parler des nouveaux disques durs SSD qui sont

beaucoup plus rapides. Les écrans HD avec webcam intégrée et technologie de reconnaissance

faciale (pour ne plus entrer de mot de passe) sont désormais commercialisés. Les lecteurs standard

peuvent lire les DVD/RW, et nombre d'entre eux prennent en charge la technologie Blu-ray haute

résolution pour la lecture vidéo. En revanche, ces accessoires ne sont pas présents sur certains

modèles d'ordinateurs portables, lesquels mettent en avant finesse et légèreté. Les options audio

de haute qualité sont également de plus en plus courantes.

Les normes en matière de vitesse de transmission des données Ethernet n'ont fait qu'évoluer.

La technologie Gigabit Ethernet, qui prend en charge un taux de transmission de données de

1 000 Mbit/s (mégabits par seconde), s'est développée au cours des dix dernières années. L'IEEE

(Institute of Electrical and Electronics Engineers) vient même de certifier la norme 10 Gigabit

Ethernet. Ces normes ne concernent toutefois que les connexions en cuivre, par câble (coaxial)

et en fibre optique. Par ailleurs, la connectivité réseau sans fil, qui s'adapte à l'explosion actuelle

des appareils mobiles, s'est répandue entre 2002 et 2012. En 2012, les ordinateurs de bureau et

les ordinateurs portables proposent généralement des options de connectivité filaire et sans fil.

Services en ligne (prédécesseurs du Cloud Computing)

Dès 2002, les utilisateurs ont pu bénéficier de divers services de paiement en ligne. Ces services

ont permis aux sites de commerce sur Internet (commerce électronique), tels qu'Amazon.com

et eBay de se développer (les deux sites ont démarré leurs activités en 1995). La popularité du

commerce électronique a connu une progression fulgurante entre 2002 et 2012.

Un phénomène de taille s'est produit au cours de ces dix années, lequel a eu un

impact considérable au niveau du secteur de la culture et du divertissement populaire, La

musique et les vidéos, disponibles désormais sous la forme de fichiers informatiques numérisés,

pouvaient être partagés sur Internet. Napster, sans doute le service de partage de fichiers le plus

connu, a vu le jour en 1999 et a cessé ses activités en juillet 2001. Néanmoins, d'autres modèles

de partage de fichiers ont fait leur apparition et sont devenus populaires.

L'essor d'Internet et la disponibilité croissance de la connectivité haut débit sont également

à l'origine de services en ligne, tels que Rhapsody, le premier service d'abonnement mensuel

de musique à la demande en continu, lancé en décembre 2001.

4

Bien que le concept de Cloud Computing existe déjà depuis un certain temps, les premiers

services de Cloud Computing n'ont été commercialisés qu’en 2002. Depuis lors, des options

plus flexibles ont été proposées. Le Cloud Computing est alors devenu plus attractif et abordable

pour les petites et grandes organisations, ainsi que pour les particuliers. À l'heure actuelle, les

architectures de Cloud Computing intègrent le modèle IaaS (Infrastructure as a Service), qui

propose des composants, tels que les réseaux et du stockage, le modèle PaaS (Platform as a

Service), qui propose une plateforme, telle qu'une base de données ou un serveur Web pour

l'exécution d'applications, et le modèle SaaS (Software as a Service), qui propose une application

ou une solution logicielle en tant que service fini ou complet.

En 2012, presque tout le monde s'accorde à penser que le Cloud Computing devrait devenir

le nouvel épicentre en informatique. Cette technologie est de plus en plus prise en charge par

un grand nombre d'organisations, et les modèles de Cloud Computing ne cessent d'évoluer.

Origines des programmes malveillants

De nombreux utilisateurs d'ordinateurs ont découvert les programmes malveillants

suite à des infections généralisées par Melissa (en 1999) et LoveLetter (en 2000). Ces deux

attaques se sont propagées par le biais de la messagerie électronique, et par une pièce jointe

infectée dans le cas de LoveLetter. Une fois la pièce jointe ouverte, le programme malveillant

écrasait plusieurs types différents de fichiers sur l'ordinateur de l'utilisateur, puis il se propageait

lui-même par courrier électronique aux contacts du carnet d'adresse de la victime.

Rapidement, LoveLetter est devenu à cette époque l'incident le plus coûteux de sa catégorie.

Malgré les dommages causés par Melissa et LoveLetter, il ne fait aucun doute que ces menaces

ont eu trois effets positifs : grâce à eux, les programmes malveillants ont été surveillés de plus

près, les utilisateurs ont pris conscience de leur existence (via la pression des autres utilisateurs,

destinataires de ces messages) et ont souligné l'importance des sauvegardes (LoveLetter a en

effet écrasé des fichiers qui, par absence de sauvegarde, ont été perdus).

Une menace liée aux programmes malveillants plus sournoise et directe s'est hissée au premier

plan en 2001 : des programmes malveillants pouvant se propager sans intervention humaine.

L'un de ces types de programmes malveillants est un ver, connu sous le nom Code Red ; il est

apparu sur Internet en juillet 2001 et il s'attaquait à des serveurs IIS (Microsoft Internet Information

Services). Même si des vers avaient déjà été détectés depuis 1988, Code Red était considéré par les

chercheurs du Centre de protection Microsoft contre les programmes malveillants comme étant le

parfait exemple du ver, car il ne contenait aucun composant fichier. Code Red devait être détecté

en transit ou dans la mémoire d'un ordinateur infecté. À l'époque, les logiciels anti-programme

malveillant de bureautique traditionnels, qui recherchaient des logiciels malveillants basés sur

des fichiers, ne pouvaient pas le détecter.

5

5

Code Red s'est propagé via le port TCP 80, le même canal couramment utilisé pour les requêtes

sur le Web. Les serveurs Web devaient donc être sécurisés contre de telles attaques. Toutefois,

d'autres ordinateurs doivent accéder au port 80 pour des fonctionnalités liées au navigateur Web.

Code Red n'a probablement pas causé autant de dommages que LoveLetter, même s'il est difficile

d'en être certain, du fait que certains ordinateurs infectés par Code Red ont été ensuite infectés

par Win32/Nimda, qui s'est également propagé via le port TCP 80.

Win32/Nimda était ce que certains appellent un cocktail de programmes malveillants, ou

menace combinée, qui a marqué le début d'une tendance en terme de développement de logiciels

malveillants qui subsiste aujourd'hui. Il employait au moins cinq vecteurs d'attaque différents, y

compris l'utilisation de portes dérobées laissées ouvertes par un programme malveillant précédent.

Il a suivi ce programme malveillant de tellement près que son développement a dû être très

rapide. Par conséquent, l'opinion générale était que Win32/Nimda a été développé par une

équipe, et pas simplement par un développeur de programmes malveillants isolé.

Qui que soit son créateur, Win32/Nimda a démontré que si les ordinateurs en réseau ne sont pas

protégés, ils peuvent être détournés et utilisés contre leur propriétaire en quelques heures, voire

en quelques minutes. Des centaines de milliers d'ordinateurs ont été victimes de Win32/Nimda,

nombre d'entre eux exploitaient des sites Web bien connus et des serveurs de messagerie pour

des moyennes et grandes sociétés. Au total, plus de 50 000 sites Internet importants ont été

infectés. En outre, il n'est pas passé inaperçu que Win32/Nimda avait été diffusé le 18 septembre,

soit seulement une semaine après les attaques terroristes du 11 septembre 2001 ; ce qui a inquiété

les spécialistes en matière de sécurité.

Par ailleurs, 2001 a été le théâtre de l'émergence des programmes malveillants dans les messages

électroniques qui paraissaient inoffensifs. Ces logiciels malveillants provenaient de messages sans

code ni fichier joint ; ils se servaient d'URL. Ces messages utilisaient des tactiques d'ingénierie sociale

pour inciter les utilisateurs à cliquer sur les URL ; ils étaient alors connectés à des sites Web

programmés contenant des failles permettant des actions non souhaitées sur les PC des utilisateurs.

2001 a également été l'année de naissance de Win32/Sircam. Il s'agit du premier programme

malveillant répandu pouvant exfiltrer des informations des ordinateurs, bien que personne n'ait

su s'il s'agissait de son objectif. Cependant, l'itinéraire privé du Président ukrainien a été publié

publiquement contre toute attente suite à une infection par Win32/Sircam.

6

Initiative Microsoft Trustworthy Computing (environnement informatique fiable)

Le 15 janvier 2002, le président du conseil d'administration de Microsoft, Bill Gates, a envoyé

un mémo à tous les employés à temps plein de Microsoft et de ses filiales. Il y proposait de

changer radicalement l'approche de la société et de s'occuper d'un élément central de

l'entreprise, un concept appelé Trustworthy Computing, environnement informatique fiable.

L'initiative Trustworthy Computing représente l'engagement de Microsoft à offrir une expérience

informatique plus sûre, privée et fiable, basée sur des pratiques commerciales saines. La plupart

des données publiées par Microsoft Trustworthy Computing dans le Rapport sur les données de

sécurité Microsoft proviennent de trois centres de sécurité, le Centre de protection Microsoft

contre les programmes malveillants, le Centre de réponse aux problèmes de sécurité Microsoft

(MSRC) et le Microsoft Security Engineering Center (MSEC), qui fournissent des données précises

sur les menaces, proposent des mesures à adopter face aux menaces et une certaine approche en

termes de sécurité. D'autres informations sont également proposées par des groupes de produits

Microsoft et par Microsoft IT (MSIT), le groupe qui gère les services informatiques mondiaux pour

Microsoft. Le Rapport sur les données de sécurité vise à décrire au mieux le paysage des menaces

aux clients et partenaires Microsoft, ainsi qu'aux employés du secteur des logiciels, pour les aider

à se protéger eux-mêmes et leurs actifs contre toute activité criminelle.

7

7

La figure suivante montre les actions importantes et les événements clés qui ont eu lieu au cours

des cinq premières années de l'existence de Microsoft Trustworthy Computing, ainsi que certains

événements marquants liés aux programmes malveillants.

Figure 1. Événements marquants et événements clés dans le paysage des menaces de 2002 à 2006

2002-2003

L'ère des logiciels malveillants propagés en masse par courrier électronique, qui a débuté avec

Melissa et LoveLetter, s'est prolongée jusqu'en 2002-2003, et a entraîné l'augmentation

significative du volume de courrier indésirable, qui utilisait en majorité des macros et la

fonctionnalité de création de script de Microsoft Visual Basic. La plupart de ces programmes

malveillants ont été déjoués par les fonctions de sécurité de la version Microsoft Office XP de

Microsoft Excel et de la version Office 2003 de Microsoft Word, lorsque ces programmes ont

adopté le format XML pour leurs fichiers de données.

En 2003, Microsoft a lancé son processus mensuel régulier d'envoi de mises à jour de sécurité, qui

a toujours lieu aujourd'hui. Microsoft a lancé ce programme pour fournir des mises à jour en

temps opportun à ses clients sur une base régulière. Certaines mises à jour sont liées à la sécurité,

mais pas toutes. Les mises à jour de sécurité sont fournies chaque deuxième mardi du mois ; les

mises à jour facultatives et celles ne concernant pas la sécurité sont quant à elles proposées

chaque quatrième mardi du mois.

8

2004

Microsoft a commercialisé Windows XP Service Pack 2 (SP2) en 2004 ; il contenait des mises à jour

de sécurité et des améliorations considérables. SP2 est le fruit d'efforts considérables déployés par

les développeurs et experts en sécurité Microsoft. Il s'agissait là peut-être de la meilleure indication

de la part de Microsoft, laquelle prouvait que la société se préoccupait du problème croissant des

programmes malveillants au sein de la connectivité mondiale d'Internet. SP2 représente une

avancée significative et une étape clé de la démarche de Microsoft et des autres intervenants du

secteur visant à protéger les utilisateurs de leur technologie face aux criminels.

En 2004, le premier programme malveillant à but lucratif a fait son apparition. La famille de vers

propagée en masse par courrier électronique Win32/Mydoom a créé l'un des premiers exemples

d'un botnet, un ensemble d'ordinateurs contrôlés secrètement et de manière illicite par un pirate,

qui demande à ces ordinateurs d'effectuer des activités, telles qu'envoyer du courrier indésirable,

héberger des pages utilisées pour le hameçonnage, voler des mots de passe ou des informations

sensibles et de propager d'autres logiciels malveillants.

La criminalisation des programmes malveillants

Une majorité des premiers programmes malveillants étaient subversifs et coûteux en termes de

frais de nettoyage et de perte de productivité, mais la plupart ont été créés comme des canulars

ou pour élever le statut du développeur au sein de la communauté des pirates informatiques en

ligne. Avec l'arrivée de Win32/Mydoom en 2004, il est devenu évident que les développeurs de

logiciels malveillants ont saisi les opportunités offertes par les programmes malveillants en matière

de vol, de chantage et d'autres activités criminelles lucratives.

2005

En 2005, le ver Win32/Zotob s'est propagé, mais pas autant qu'on ne l'avait tout d'abord pensé. Il

visait à limiter les paramètres de sécurité dans Windows Internet Explorer et à entraver sa

fonctionnalité de blocage des fenêtres publicitaires pour afficher les publicités de sites Web qui

payaient les pirates en fonction des clics obtenus. Il s'agit là d'un autre exemple de programme

malveillant recherchant les profits.

Fin 2005, le cheval de Troie Win32/Zlob a commencé à se propager. Il affichait des fenêtres

publicitaires qui mettaient les utilisateurs en garde contre un logiciel espion et les encourageaient

à acheter un faux logiciel anti-espion, qui les redirigeait en fait vers d'autres sites et causaient

d'autres problèmes. Win32/Zlob a également prouvé que les développeurs farceurs laissent place

aux criminels encouragés par les profits potentiels. (Pour plus d'informations sur Win32/Zlob,

reportez-vous à la section « Évolution des menaces au fil du temps » plus loin dans ce rapport.)

9

9

Avant 2005, Microsoft diffusait des mises à jour de sécurité pour répondre à des formes spécifiques

de programmes malveillants. À titre d'exemple, le bulletin de sécurité Microsoft MS02-039, qui

visait le programme malveillant connu sous le nom de Slammer, a été lancé en juillet 2002. En

janvier 2005, Microsoft a commercialisé la première version de l'outil de suppression des

programmes malveillants, qui supprime les programmes malveillants spécifiques répandus des

ordinateurs exécutant une version récente de Windows. Microsoft met à la disposition des

utilisateurs d'ordinateurs une nouvelle version de l'outil de suppression des logiciels malveillants

chaque mois, à télécharger automatiquement via Windows Update/Microsoft Update. Elle est

ensuite exécutée une fois pour rechercher des infections par programmes malveillants et pour

supprimer celles-ci.

La disponibilité constante et automatique de l'outil de suppression des programmes malveillants

aide à préserver un écosystème informatique plus propre. Par exemple, au premier semestre 2011,

l'outil de suppression des logiciels malveillants a été exécuté sur plus de 600 millions d'ordinateurs

dans le monde tous les mois. En revanche, cet outil ne remplace pas un produit anti-programme

malveillant préventif ; il ne s'agit que d'un outil de suppression à utiliser une fois l'ordinateur

infecté. Microsoft recommande vivement d'utiliser un produit anti-programme malveillant

préventif à jour.

Les cybercriminels organisés et avancés d'un point de vue technique ayant commencé à tirer parti

des technologies utilisateurs , le Centre de protection Microsoft contre les programmes

malveillants a été créé en 2005. Il s’est vu doté d’une double mission : aider à protéger les clients

Microsoft des menaces émergeantes et existantes, et proposer une recherche antivirale de portée

mondiale ainsi qu’une forte capacité de réponse en matière de protection contre les programmes

malveillants afin de prendre en charge les produits et services de sécurité Microsoft.

Plus récemment, Microsoft a créé l'unité en charge de lutter contre les délits numériques de

Microsoft (Microsoft Digital Crimes Unit, DCU), composée d'avocats, d'enquêteurs, d'analystes

techniques et d'autres spécialistes du monde entier. Sa mission est de rendre Internet plus sûr en

mettant en place des solutions renforcées, des partenariats mondiaux, des stratégies et des

solutions techniques contribuant à assurer une défense contre les fraudes et autres menaces au

niveau de la sécurité en ligne mais également de protéger les enfants de cette cybercriminalité.

La figure suivante montre certains événements clés qui ont eu lieu au cours de ces cinq dernières

années d'existence de Microsoft Trustworthy Computing, ainsi que certains événements marquants

liés aux programmes malveillants.

10

Figure 2. Événements marquants et événements clés dans le paysage des menaces de 2007 à 2011

Outre la création du Centre de protection Microsoft contre les programmes malveillants et

de l'unité DCU, Microsoft s'est employé à favoriser une plus grande collaboration entre les acteurs

du secteur et à partager son retour d’expérience pour toute initiative d’implémentation de

sécurité. Le consortium ICASI (Industry Consortium for Advancement of Security on the Internet)

en est un exemple. Il a été cofondé par Microsoft en juin 2008 avec Intel Corporation, IBM, Cisco

Systems et Juniper Networks. Depuis sa création, Amazon.com et Nokia en sont également

devenus membres.

ICASI encourage la collaboration entre des sociétés internationales dans le but de s'occuper de

menaces complexes en termes de sécurité et de mieux protéger les infrastructures informatiques

critiques pour des organisations, des gouvernements et des citoyens du monde entier.

11

11

Vulnérabilités

Les vulnérabilités sont définies comme les points faibles d'un logiciel permettant à une personne

mal intentionnée de compromettre l'intégrité, la disponibilité ou la confidentialité de ce logiciel

ou des données qu'il traite. Dans le pire des cas, elle peut aller jusqu'à permettre aux personnes

mal intentionnées d'exploiter un système compromis et ainsi d’exécuter du code arbitraire sans

que l'utilisateur le sache.

Ces 10 dernières années représentent une période très intéressante en matière d'évaluation des

divulgations de vulnérabilités et des changements associés qui continuent à affecter la gestion

des risques dans les organisations informatiques du monde entier. Avant d'examiner les schémas

et les tendances, voici une brève analyse de la dernière décennie en ce qui concerne les

vulnérabilités du secteur.

Une décennie de maturation

En 2002, MITRE1 a publié un rapport (A Progress Report on the CVE Initiative (PDF)), dans

lequel il a présenté une mise à jour basée sur un effort pluriannuel de création d'un ensemble

d'informations sur les vulnérabilités cohérent et commun, en mettant plus particulièrement

l'accent sur la convention d'affectation de nom unique, afin de faciliter l'accès, la gestion et

la résolution des vulnérabilités et des expositions au secteur. Les données et l'effort CVE ont

permis de former par la suite le noyau du NIST (National Institute of Standards and Technology)

NVD (National Vulnerability Database), le référentiel gouvernemental américain des données de

gestion des vulnérabilités basées sur les normes qui joue le rôle d'indice principal de vulnérabilité

pour les vulnérabilités référencées dans le Rapport sur les données de sécurité Microsoft.

2002 a également marqué l'avènement d'un marché commercial des vulnérabilités. iDefense

a lancé un programme de contribution centré sur les vulnérabilités, lequel payait ceux qui

donnaient des informations sur les vulnérabilités.

En 2003, le NIAC (National Infrastructure Advisory Council) aux États-Unis a commissionné

un projet « visant à proposer un système d'évaluation des vulnérabilités ouvert et universel afin

de s'occuper de ces lacunes et de les résoudre, et dont l'objectif ultime était de promouvoir une

compréhension commune des vulnérabilités et de leur impact ». Ce projet a abouti à un rapport

recommandant l'adoption du système d'évaluation standardisé des vulnérabilités (PDF) (CVSSv1)

fin 2004. L'obtention d'informations sur le niveau de gravité (ou l'évaluation) des vulnérabilités

a constitué une grande avancée, car cela a permis d'offrir une méthode standardisée d'évaluation

des vulnérabilités dans le secteur sans favoriser de fournisseur.

1 MITRE est une société sans but lucratif qui œuvre dans l'intérêt public en proposant ses services d'assistance technico-commerciale, de recherche et développement et de support informatique au gouvernement des États-Unis.

12

En 2007, le CVSS a été mis à jour pour répondre à des problèmes identifiés par l'application pratique

du CVSS depuis sa création. Le Rapport sur les données de sécurité Microsoft volume 4, qui présente

des données et des analyses relatives au second semestre 2007, incluait les tendances de vulnérabilités

utilisant les deux systèmes CVSSv1 et CVSSv2. Depuis lors, on utilise l'évaluation CVSSv2. À l'époque,

on avait remarqué un impact d'ordre pratique au niveau des nouvelles formules d'évaluation. En effet,

un pourcentage plus élevé de vulnérabilités avait reçu le niveau de gravité Élevé ou Moyen.

Divulgations de vulnérabilités sur tout le secteur

Une divulgation, telle qu'utilisée dans le Rapport sur les données de sécurité Microsoft, est

la révélation d'une vulnérabilité logicielle au grand public. Elle ne se rapporte à aucun type

de divulgation privée ni à aucun type de divulgation à un nombre limité de personnes. Les

divulgations peuvent venir de diverses sources, notamment des fournisseurs de logiciels, des

fournisseurs de logiciels de sécurité, des chercheurs en sécurité indépendants et même des

développeurs de logiciels malveillants.

La plupart des informations de cette section ont été compilées à partir des données de

divulgation des vulnérabilités publiées dans la NVD. Elles représentent l'ensemble des

divulgations qui disposent d'un numéro CVE (Common Vulnerabilities and Exposures).

Au cours des dix dernières années, une augmentation disproportionnée des nouvelles divulgations

de vulnérabilités a été constatée ; celles-ci ont atteint leur niveau maximum en 2006 et 2007, puis

ont constamment diminué les quatre années suivantes, pour à peine dépasser les 4 000 unités en

2011, ce qui représente encore un grand nombre de vulnérabilités.

13

13

Figure 3. Divulgations de vulnérabilités sur tout le secteur depuis 2002

Tendances des divulgations de vulnérabilités :

Les divulgations de vulnérabilités dans tout le secteur en 2011 ont baissé de 11,8 %

par rapport à 2010.

Cette baisse laisse présager une tendance à la baisse modérée. Les divulgations

de vulnérabilités ont baissé de 37 % au total depuis le pic de 2006.

14

Niveau de gravité des vulnérabilités

Le système d'évaluation standardisé des vulnérabilités (CVSS) est un système d'évaluation

standardisé, indépendant de la plateforme permettant d'évaluer les vulnérabilités informatiques.

Le CVSS attribue une valeur numérique, comprise entre 0 et 10, aux vulnérabilités en fonction

de leur niveau de gravité ; le résultat le plus élevé représentant le niveau de gravité le plus élevé.

(Reportez-vous à la page relative au niveau de gravité des vulnérabilités sur le site Web Rapport

sur les données de sécurité pour plus d'informations.)

Figure 4. Gravité relative des vulnérabilités divulguées depuis 2002

Tendances des niveaux de gravité des vulnérabilités :

La tendance globale du niveau de gravité des vulnérabilités a été positive. Les vulnérabilités

d'un niveau de gravité moyen et élevé n'ont cessé de diminuer depuis leur pic en 2006 et 2007.

De moins en moins de vulnérabilités étant globalement divulguées, le nombre de

vulnérabilités divulguées dont le niveau de gravité est bas n'a pas beaucoup évolué.

Les vulnérabilités dont le niveau de gravité est bas représentent environ 8 % de toutes

les vulnérabilités divulguées en 2011.

15

15

Divulgations matérielles et logicielles

La NVD guette tant les vulnérabilités matérielles que logicielles. Le nombre de vulnérabilités

matérielles divulguées chaque année reste bas, comme illustré ci-dessous. Le nombre le plus

élevé était de 198 (3,4 %) vulnérabilités matérielles divulguées en 2009.

Figure 5. Divulgations de vulnérabilités matérielles et logicielles depuis 2002

Les vulnérabilités logicielles touchent les systèmes d'exploitation, les applications, ou les

deux. À l'instar de nombreux autres secteurs, le produit d'un fournisseur peut être le composant

d'un autre fournisseur. Par exemple, CVE-2011-1089 concerne GNU libc 2.3, qui est repris comme

produit d'application de GNU. Toutefois, libc est également un composant intégré dans plusieurs

systèmes d'exploitation et représente par conséquent également une vulnérabilité de système

d'exploitation. Il est donc difficile de différencier clairement les vulnérabilités qui concernent

les systèmes d'exploitation de celles qui concernent les applications. Dans la figure suivante, les

vulnérabilités qui s'appliquent tant aux systèmes d'exploitation qu'aux applications sont en rouge.

16

Figure 6. Divulgations de vulnérabilités s'appliquant aux systèmes d'exploitation et aux applications depuis 2002

En 2010 et en 2011, environ 13 % des vulnérabilités logicielles touchaient à la fois les systèmes

d'exploitation et les applications.

17

17

Divulgations de vulnérabilités concernant les systèmes d'exploitation

Pour déterminer le nombre de vulnérabilités qui concernent les systèmes d'exploitation (voir figure

suivante), celles-ci ont été filtrées en fonction des produits affectés désignés en tant que systèmes

d'exploitation dans la NVD.

Figure 7. Divulgations de vulnérabilités concernant les systèmes d'exploitation depuis 2002

Divulgations de vulnérabilités concernant les applications

Pour déterminer le nombre de vulnérabilités touchant les applications (voir la figure suivante), les

vulnérabilités ont été filtrées en fonction des produits touchés désignés en tant qu'applications

dans la NVD.

18

Figure 8. Divulgations de vulnérabilités concernant les applications depuis 2002

Exploitation des tendances et des bulletins de sécurité

Le Microsoft Security Engineering Center (MSEC) est l'un des trois centres de sécurité qui

permettent de protéger les clients contre les programmes malveillants. Le MSEC essaie de

trouver des moyens fondamentaux de développer des produits et services plus sûrs du point

de vue du génie logiciel, en déployant des efforts tels que la méthodologie Security Development

Lifecycle (SDL) de Microsoft et la science de la sécurité.

Le Centre de réponse aux problèmes de sécurité Microsoft (MSRC) identifie, surveille, résout et

réagit aux vulnérabilités de sécurité logicielle de Microsoft. Le MSRC publie des bulletins de

sécurité chaque mois pour s'attaquer aux vulnérabilités propres aux logiciels Microsoft. Ces

bulletins sont numérotés selon un ordre précis pour chaque année civile. Par exemple, « MS11-

057 » se rapporte au 57e bulletin de sécurité publié en 2011.

Les bulletins de sécurité sont généralement publiés le deuxième mardi de chaque mois, mais il

arrive exceptionnellement que Microsoft publie une mise à jour de sécurité « hors bande » pour

répondre à un problème urgent. Microsoft a publié une telle mise à jour en 2011.

19

19

La figure suivante indique le nombre de bulletins de sécurité et de mise à jour hors bande

publiées depuis 2005, date à laquelle Microsoft a publié la première version de l'outil de

suppression des programmes malveillants.

Figure 9. Bulletins de sécurité du MSRC publiés depuis 2005

Période Bulletins de sécurité Mises à jour hors bande

1S05

33

0

2S05

22

0

1S06

32

1

2S06

46

1

1S07

35

1

2S07

34

0

1S08

36

0

2S08

42

2

1S09

27

0

2S09

47

1

1S10

41

2

2S10

65

1

1S11

52

0

2S11

48

1

Un seul bulletin de sécurité concerne souvent plusieurs vulnérabilités émanant de la base

de données CVE, chacune d'elle étant reprise dans le bulletin en plus de l'ensemble des autres

problèmes pertinents. L'illustration suivante indique le nombre de bulletins de sécurité publiés,

ainsi que le nombre de vulnérabilités identifiées par la CVE qu'ils ont abordés chaque semestre

depuis le 1er semestre 2005. (Toutes les vulnérabilités ne sont pas abordées au cours de la

période de leur divulgation initiale.)

20

Figure 10. Nombre de bulletins de sécurité du MSRC et de vulnérabilités identifiées par la CVE et abordées

En 2011, le MSRC a publié 100 bulletins de sécurité qui concernaient 236 vulnérabilités

identifiées par la CVE, ce qui représente une diminution de 7 % et de 6 %, respectivement,

par rapport à 2010. Comme le montre la figure suivante, le nombre moyen de vulnérabilités

identifiées par la CVE abordées par chaque bulletin de sécurité a augmenté d'année en année,

de 1,5 au 1er semestre 2005 à 2,4 au 2e semestre 2011.

21

21

Figure 11. Nombre moyen de vulnérabilités identifiées par la CVE par bulletin de sécurité du MSRC

Lorsque cela est possible, le MSRC combine plusieurs vulnérabilités qui touchent un

même composant ou un même élément binaire pour les aborder dans un même bulletin

de sécurité. Cette approche renforce l'efficacité de chaque mise à jour et limite toute

interruption potentielle subie par les clients en testant et en intégrant les différentes mises

à jour de sécurité à leur environnement informatique.

22

L'état des logiciels malveillants aujourd'hui

Fin 2001, environ 60 000 formes de logiciels malveillants ou menaces avaient été recensées.

Ce nombre représentait une augmentation significative par rapport à 1996 (environ 10 000)

et à 1991 (environ 1 000).

Figure 12. Évolution approximative des logiciels malveillants depuis 1991

Ces dix dernières années, la prolifération des programmes malveillants s'est muée en

histoire de cybercriminalité. De nos jours, on estime à plusieurs milliards le nombre de

menaces informatiques connues, telles que les virus, les vers, les chevaux de Troie, les failles,

les portes dérobées, les voleurs de mots de passe, les logiciels espions et d'autres variantes

de logiciels potentiellement indésirables.

Depuis lors, les développeurs de programmes malveillants criminels ont commencé

à utiliser le polymorphisme client et serveur (capacité qu'ont les programmes malveillants

à créer de manière dynamique différentes formes d'eux-mêmes pour contrecarrer les solutions

anti-programme malveillant). Il est alors devenu de plus en plus difficile de répondre à la question

« Combien de variantes des menaces existe-t-il ? » Le polymorphisme implique qu'il peut exister

autant de variantes que les ordinateurs infectés peuvent en produire ; en d'autres termes, ce

nombre dépend de la capacité des programmes malveillants à générer de nouvelles variantes

d'eux-mêmes.

23

23

Il est désormais plus judicieux de détecter puis d'éliminer la source des variantes que de compter

leur nombre. En 2011, plus de 49 000 familles de menaces uniques différentes ont été signalées

au Centre de protection Microsoft contre les programmes malveillants par des clients. Un grand

nombre de ces familles étaient des doublons, versions polymorphes des principales familles de

menaces. Leur détection et leur élimination des ordinateurs infectés est toujours d'actualité.

En 2011, Microsoft a ajouté plus de 22 000 signatures pour détecter les principales familles

de menaces. Étant donné que les développeurs de programmes malveillants criminels créent

davantage de menaces, la taille des fichiers de signature anti-programme malveillant types

augmente ; ces fichiers dépassent aujourd'hui les 100 Mo. En 2002, la taille des fichiers de

signature anti-programme malveillant types étaient inférieure à 1 Mo.

Le nombre de fichiers soumis à des organisations anti-programme malveillant a également

augmenté. La figure suivante montre dans quelle mesure le nombre de fichiers soumis, suspectés

de contenir des logiciels malveillants ou potentiellement indésirables au Centre de protection

Microsoft contre les programmes malveillants, a augmenté depuis 2005, ce qui représente une

augmentation de plus de 200 %. (Les fichiers suspectés d'être malveillants peuvent être soumis

au Centre de protection Microsoft contre les programmes malveillants, page Submit a sample

(Envoyer un échantillon).)

Figure 13. Augmentation en pourcentage du nombre de fichiers soumis au Centre de protection Microsoft contre

les programmes malveillants depuis 2005

24

Tendances des programmes malveillants et potentiellement indésirables

Les programmes malveillants ne cessent d'évoluer, et les fluctuations en ce qui concerne la

détection des différentes formes de programmes malveillants reflètent parfois les victoires

à des moments donnés remportées par des personnes travaillant dans le secteur des logiciels

sur les développeurs de programmes malveillants.

Évolution des menaces au fil du temps

Lorsqu'on les observe sur plusieurs années, certaines familles de logiciels potentiellement

indésirables et malveillants ont tendance à culminer, ou à devenir plutôt répandues, pendant

de courtes périodes, car les fournisseurs de produits anti-programme malveillant centrent leurs

efforts sur la détection et la suppression de ces menaces. Ces périodes de pics sont suivies par

des périodes de baisse, car les personnes mal intentionnées changent leur tactique. La figure

suivante illustre ce phénomène. (Pour les figures 14 à 18, l'axe des ordonnées représente le

pourcentage de tous les ordinateurs infectés par des programmes malveillants.)

Figure 14. Familles de programmes malveillants et potentiellement indésirables ayant atteint leur niveau

maximum puis une diminution depuis 2006

25

25

Win32/Rbot était l'une des premières familles de botnet à être connue en 2004 et en 2005

après plusieurs épidémies hautement visibles qui ont notamment touché les réseaux des médias

et gouvernementaux. Rbot est une famille de « kit d'attaque » : Les variantes de Rbot sont créées

à partir d'un kit de création de botnet open source appelé RxBot, qui est largement disponible chez

les opérateurs de programmes malveillants. Par ailleurs, de nombreux groupes différents ont généré

leurs propres variantes avec des fonctionnalités différentes. L'outil de suppression des programmes

malveillants a été mis à jour pour détecter Rbot en avril 2005, et le nombre de détections a nettement

diminué en 2006, pour représenter moins de 2 % des ordinateurs à partir du 2e semestre 2008.

La famille des chevaux de Troie Win32/Zlob a été retrouvée sur pratiquement 25 % des

ordinateurs infectés par un programme malveillant au 1er semestre 2008, soit un niveau de

prévalence jamais atteint par aucune autre famille. Zlob était généralement diffusé sur des pages

Web, se faisant passer pour un codec multimédia que les visiteurs devaient installer pour regarder

du contenu vidéo téléchargé ou diffusé en continu sur Internet. Une fois installé sur un ordinateur

cible, Zlob affiche en continu des fenêtres contextuelles publicitaires pour un faux logiciel de

sécurité. Une variante de Zlob détectée fin 2008 incluait un message codé, apparemment écrit

par le développeur de Zlob et à l'intention des chercheurs du Centre de protection Microsoft

contre les programmes malveillants, indiquant que le développeur mettrait fin au développement

et à la distribution du cheval de Troie :

For Windows Defender's Team:

I saw your post in the blog (10-Oct-2008) about my previous message.

Just want to say 'Hello' from Russia.

You are really good guys. It was a surprise for me that Microsoft can respond

on threats so fast.

I can't sign here now (he-he, sorry), how it was some years ago for more seriously

vulnerability for all Windows ;)

Happy New Year, guys, and good luck!

P.S. BTW, we are closing soon. Not because of your work. :-))

So, you will not see some of my great ;) ideas in that family of software.

Try to search in exploits/shellcodes and rootkits.

Also, it is funny (probably for you), but Microsoft offered me a job to help improve some of

Vista's protection. It's not interesting for me, just a life's irony.

Les détections de Zlob ont en effet incontestablement diminué au 2e semestre 2008, et en 2010,

Zlob ne faisait plus partie des 50 premières familles de virus les plus détectées dans le monde.

26

Win32/Conficker est une famille de vers découverte en novembre 2008 qui s'est initialement

propagée en exploitant une vulnérabilité abordée par la mise à jour de sécurité MS08-067,

distribuée le mois précédent. Le nombre de détections de Conficker a culminé au 1er semestre 2009

et a atteint ensuite un niveau bien inférieur, suite aux efforts coordonnés du groupe de travail sur

Conficker, Conficker Working Group, pour limiter l'étendue du ver et nettoyer les ordinateurs

infectés. Tous les 6 mois depuis cette époque, entre 3 et 6 % d'ordinateurs infectés ont été détectés.

JS/Pornpop est un logiciel de publicité qui se compose d'objets JavaScript spécialement

conçus qui tentent de faire apparaître des fenêtres publicitaires pop-under. Tout d'abord

détectée en août 2010, il s'agissait de la deuxième famille la plus détectée au 2e semestre 2010

et au 1er semestre 2011, et devrait être la famille la plus souvent détectée au 2e semestre 2011.

Win32/Autorun est un ver qui tente de se propager entre les volumes d'ordinateurs montés

en détournant la fonction AutoRun sous Windows. Le nombre de détections de Win32/Autorun

a progressivement augmenté pendant plusieurs périodes avant de connaître son niveau maximum

au 2e semestre 2010 ; il s'agissait en effet de la famille la plus détectée au cours de cette période.

Microsoft a modifié le fonctionnement de la fonction AutoRun sous Windows 7 et

Windows Server 2008 R2 dans le but d'aider à protéger les utilisateurs des menaces

s'attaquant à la commande AutoRun. Dans ces versions de Windows, la tâche AutoRun

est désactivée pour tous les volumes à l'exception des lecteurs optiques, tels que les lecteurs

de CD-ROM et de DVD-ROM, qui historiquement n'ont pas été utilisés pour transmettre le

logiciel malveillant AutoRun. Par la suite, Microsoft a publié un ensemble de mises à jour qui

a permis d'étendre cette modification à Windows XP, Windows Server 2003, Windows Vista

et Windows Server 2008. Ces mises à jour ont été publiées en tant que mises à jour importantes

via les services Windows Update et Microsoft Update depuis février 2011, ce qui a peut-être

contribué à faire diminuer le nombre de détections de Win32/Autorun en 2011.

D'autres familles de programmes malveillants et potentiellement indésirables ne sont pas si

répandues que les familles qui culminent, mais elles existent plus longtemps. La figure suivante

illustre la prévalence de certaines de ces familles de programmes malveillants plus constantes.

27

27

Figure 15. Familles de programmes malveillants qui sont restées actives à des niveaux inférieurs depuis 2007

Win32/Renos, classé dans la catégorie des chevaux de Troie téléchargeurs et droppers dans

les précédents volumes du Rapport sur les données de sécurité, était l'une des quatre familles

de logiciels malveillants les plus souvent détectées chaque semestre, à compter du 1er semestre

2007 jusqu'au 2e semestre 2010. Elle a culminé au 2e semestre 2008 et au 1er semestre 2010 et

n'a quitté le top 25 qu'au 2e semestre 2011. Renos est un cheval de Troie téléchargeur qui installe

un faux logiciel de sécurité sur les ordinateurs infectés.

Win32/Taterf, classé dans la catégorie des vers dans les précédents volumes du Rapport sur les

données de sécurité, était l'une des cinq familles de logiciels malveillants les plus souvent détectées

au cours de chaque semestre, du 2e semestre 2008 au 2e semestre 2010, et son niveau de détection

a été le plus important au 2e semestre 2009. Taterf est un ver qui se propage via des lecteurs mappés

pour dérober les informations de connexion et de compte des jeux en ligne populaires. La popularité

croissante des jeux de simulation en ligne massivement multijoueur a créé un marché (que les

développeurs des jeux eux-mêmes désapprouvent généralement) en « or » et en équipement

virtuel, que les joueurs échangent contre de l'argent bien réel. Ce phénomène a entraîné l'apparition

d'une catégorie de menaces comme Taterf, qui s'empare des mots de passe des joueurs ; les voleurs

peuvent alors proposer aux enchères le butin virtuel de leur victime. Taterf est une version modifiée

d'une menace similaire, Win32/Frethog, qui a prédominé au même moment.

Win32/Alureon, classé dans la catégorie des chevaux de Troie génériques dans les précédents

28

volumes du Rapport sur les données de sécurité, est une famille de chevaux de Troie qui vole les

données des utilisateurs et présente les caractéristiques de rootkit. Elle a été découverte au début

de l'année 2007 et a fait partie des 25 premières familles, ou en a été proche, chaque semestre

qui a suivi. Les variantes d'Alureon permettent aux personnes mal intentionnées d'intercepter le

trafic Internet entrant et sortant et de collecter des données confidentielles telles que des noms

d'utilisateur, des mots de passe et des informations de carte de crédit.

Menaces différentes à des moments différents

Un autre aspect, mis en lumière lorsque les logiciels malveillants et potentiellement indésirables

sont observés sur plusieurs années, est que différentes catégories de logiciels malveillants, à savoir

différents types de menaces, ont prédominé à des moments différents. La figure suivante illustre

la prévalence relative de trois catégories différentes de logiciels malveillants.

Figure 16. Vers, portes dérobées et logiciels potentiellement indésirables de type générique depuis 2006

29

29

En 2006 et en 2007, le paysage des logiciels malveillants était dominé par les vers, les

logiciels potentiellement indésirables de type générique et les portes dérobées. (Le terme

« Logiciel potentiellement indésirable de type générique » se rapporte aux programmes dont

le comportement est potentiellement indésirable et qui peuvent nuire à la vie privée, à la sécurité

ou à l'expérience informatique des utilisateurs) Les épidémies à grande échelle de vers tels que

Win32/Msblast et Win32/Sasser, qui se sont propagés en exploitant les vulnérabilités des services

de réseau, sont pratiquement de l'histoire ancienne. La principale raison de leur déclin est la

nature de ces épidémies, il s'agit d'épidémies à grande incidence, ce qui a poussé les fournisseurs

d'anti-programmes malveillants à accroître leurs efforts en matière de détection, de nettoyage et

de blocage et à finalement encourager l'adoption des mises à jour de sécurité qui s'attaquent aux

vulnérabilités touchées. La plupart des vers qui prédominaient en 2006 étaient des « mass-mailers »,

tels que Win32/Wukill et Win32/Bagle, qui se multiplient en envoyant par courrier électronique des

copies d'eux-mêmes aux adresses découvertes sur les ordinateurs infectés.

Les portes dérobées répandues comprenaient deux familles de botnet liées, Win32/Rbot

et Win32/Sdbot. Les variantes de ces familles sont créées à partir de kits de construction

de botnets échangés sur le marché parallèle pour les logiciels malveillants, et permettent

de contrôler les ordinateurs infectés sur Internet Relay Chat (IRC). Rbot et Sdbot ont été

largement supplantés par des familles de botnet plus récentes, mais sont toujours activement

utilisés, probablement à cause de la facilité relative avec laquelle les opérateurs de botnet

potentiels peuvent obtenir les kits de construction.

Les familles de chevaux de Troie qui prédominaient en 2006 et 2007 comprenaient

Win32/WinFixer, une des premières familles de faux logiciels de sécurité, et la barre d'outils

de navigateur Win32/Starware. À la différence de la plupart des familles de faux logiciels

de sécurité modernes, qui se font généralement passer pour des programmes d'analyse

des logiciels malveillants, WinFixer se fait passer pour un utilitaire qui identifie soi-disant des

violations de la vie privée dans le Registre de l'ordinateur et du système de fichiers, et propose

de les « supprimer » moyennant contribution. Win32/Starware est une barre d'outils de navigateur

qui surveille les recherches sur des moteurs populaires, lance sa propre recherche en tandem

et affiche les résultats dans un cadre en ligne de la fenêtre du navigateur.

30

Figure 17. Vers, chevaux de Troie téléchargeurs et droppers, et outils d'analyse et voleurs de mots de passe depuis 2006

La catégorie des chevaux de Troie téléchargeurs et droppers, qui a touché moins de

9 % des ordinateurs au 1er semestre 2006, a connu un essor rapide jusqu'à devenir l'une

des catégories de menaces les plus importantes en 2007 et 2008, principalement à cause

du nombre de détections supérieur de Win32/Zlob et de Win32/Renos.

La catégorie des vers, après avoir diminué fortement après son point culminant du 1er semestre

2006, a commencé à remonter en 2009 après la découverte de Win32/Conficker et a atteint une

deuxième fois son niveau maximum au 2e trimestre 2010, avec un nombre de détections supérieur

de Win32/Taterf et de Win32/Rimecud. Rimecud est une famille de vers à plusieurs composants qui

se propage via des lecteurs amovibles et la messagerie instantanée. Elle comprend également une

fonctionnalité de porte dérobée qui permet d'accéder sans autorisation à un ordinateur infecté.

Les familles de logiciels malveillants de la catégorie des outils d'analyse et voleurs de mots

de passe, responsables d'un pourcentage négligeable de détections au 1er semestre 2006, ont

connu une croissance lente mais constante en 2008 et 2009, avant de culminer au 2e trimestre

2010. Les voleurs de mot de passe de jeux tels que Win32/Frethog y sont pour beaucoup.

31

31

Figure 18. Logiciels publicitaires, logiciels potentiellement indésirables de type générique et chevaux de Troie

génériques depuis 2006

Les logiciels publicitaires, les logiciels potentiellement indésirables de type générique et les

chevaux de Troie génériques étaient les catégories de logiciels malveillants les plus souvent

détectées en 2010 et en 2011. Le nombre de détections de logiciels publicitaires a augmenté

de manière significative au 1er semestre 2011, avec notamment Win32/OpenCandy et JS/Pornpop.

OpenCandy est un logiciel publicitaire pouvant être attaché à certains programmes d'installation

de logiciels tiers. Certaines versions du programme OpenCandy envoient des informations

spécifiques à l'utilisateur sans son consentement, et ces versions sont détectées par les logiciels

anti-programme malveillant de Microsoft. Pornpop est une détection d'objets JavaScript

spécialement conçus qui tentent d'afficher des annonces pop-under dans les navigateurs Web

des utilisateurs. Initialement, JS/Pornpop n'apparaissait que sur les sites Web affichant du contenu

pour adultes. Il a toutefois été remarqué sur des sites Web sans contenu pour adultes.

Les logiciels potentiellement indésirables de type générique représentaient la catégorie de logiciels

malveillants la plus souvent détectée en 2006, elle a ensuite été moins prédominante en 2007 et

en 2008, puis a augmenté de nouveau pour devenir la catégorie la plus répandue au 2e trimestre

2011. Les familles importantes de cette catégorie au 2e trimestre 2011 étaient Win32/Keygen, une

détection générique d'outils créant des clés de produit pour des versions illicites de divers logiciels,

et Win32/Zwangi, un programme qui s'exécute comme un service en arrière-plan et modifie les

paramètres du navigateur Web dans le but de visiter un site Web spécifique.

32

La catégorie des chevaux de Troie génériques a touché environ un tiers des ordinateurs infectés

par un logiciel malveillant chaque semestre à compter du 2e semestre 2008. Plusieurs familles

de faux logiciels de sécurité appartiennent à cette catégorie, tel que Win32/FakeSpyPro, la famille

de faux logiciels de sécurité la plus souvent détectée en 2010. D'autres familles prédominant dans

cette catégorie sont Win32/Alureon, un cheval de Troie qui vole les données, et Win32/Hiloti, qui

interfère dans les habitudes de navigation des utilisateurs touchés et télécharge puis exécute des

fichiers arbitraires.

Catégories de menace par localisation

De menace ostensible (sous forme de vers autopropageables, par exemple), l'écosystème

de programmes malveillants s'est mué en une menace moins visible qui s'appuie davantage sur

l'ingénierie sociale pour se diffuser et s'installer. Cette transformation implique que la propagation

et l'efficacité des programmes malveillants dépendent à présent plus de facteurs linguistiques et

culturels. Certaines menaces s'étendent à l'aide de techniques qui ciblent les locuteurs d'une

langue particulière ou les utilisateurs de services attachés à une région géographique spécifique.

D'autres visent des vulnérabilités, des configurations de systèmes d'exploitation et des applications

inégalement réparties de par le monde. Les données relatives d'infection issues de plusieurs

produits de sécurité Microsoft pour certaines des régions les plus peuplées au monde démontrent

la nature très localisée des programmes malveillants et des logiciels potentiellement indésirables.

Par conséquent, le paysage des menaces est bien plus complexe que ne le laisserait penser

un simple examen des plus grandes menaces mondiales.

Données de sécurité 2011

La figure suivante illustre les pays/régions rapportant des nombres significativement élevés

d'ordinateurs nettoyés par des produits anti-programme malveillant Microsoft depuis 2009.2

2 Pour plus d'informations sur la manière dont les emplacements des ordinateurs sont déterminés, consultez le billet de blog Détermination de la géolocalisation des systèmes infectés par des programmes malveillants.

33

33

Figure 19. Pays/régions comptant un nombre significativement élevé d'ordinateurs nettoyés depuis 2009

La figure suivante montre les pays/régions ayant historiquement rapporté des taux d'infection

élevés par rapport au taux d'infection moyen pour tous les pays/régions.

34

Figure 20. Pays/régions aux taux d'infection historiquement élevés par rapport à la moyenne mondiale depuis 2009

La figure suivante montre les pays/régions ayant historiquement rapporté des taux d'infection

faibles par rapport au taux d'infection moyen pour tous les pays/régions.

Figure 21. Pays/régions aux taux d'infection historiquement faibles par rapport à la moyenne mondiale depuis 2009

35

35

Leçons à tirer des pays/régions les moins infectés

Ces dernières années, l'Autriche, la Finlande et le Japon connaissent des taux relativement faibles

d'infection par des programmes malveillants. Toutefois, la plupart des menaces globales répandues

dans les pays/régions très touchés par les programmes malveillants, comme le Brésil, la Corée et la

Turquie, sont aussi très présentes dans les pays/régions dont le taux d'infection est faible.

Les logiciels publicitaires constituent les catégories de menaces les plus courantes dans les

pays/régions aux taux les plus élevés d'infection par programmes malveillants, comme en cas

de taux d'infection faible. Cette catégorie arrive en effet en tête ou à la seconde place dans

chaque cas. JS/Pornpop (détecté sur plus de 6,5 millions d'ordinateurs uniques dans le monde

au second semestre 2010) et Win32/ClickPotato sont très répandus dans ces pays/régions.

Win32/Renos était principalement responsable des taux de chevaux de Troie téléchargeurs et

injecteurs, dans les pays/régions aux taux d'infection élevés comme dans les autres. Win32/Renos

est une famille de chevaux de Troie téléchargeurs et injecteurs répandue depuis plusieurs

années. Elle a été détectée sur plus de 8 millions d'ordinateurs uniques dans le monde en 2010.

Win32/Autorun, détecté sur plus de 9 millions d'ordinateurs uniques et Win32/Conficker,

dépisté sur plus de 6,5 millions d'ordinateurs uniques dans le monde en 2010, font partie du

top dix des menaces dans les pays aux taux faibles et élevés d'infection par des programmes

malveillants, hormis en Finlande.

Le taux relativement bas d'infection par des programmes malveillants en Autriche, en Finlande,

en Allemagne et au Japon ne signifie pas nécessairement que les criminels ne sont pas actifs dans

ces pays. Par exemple :

Davantage de sites d'hébergement de programmes malveillants (sur 1000 hôtes)

ont été observés en Allemagne qu'aux États-Unis en 2010.

Le pourcentage de sites hébergeant des téléchargements intempestifs automatiques en

Finlande était presque deux fois supérieur à celui des États-Unis au premier semestre 2010.

Au quatrième trimestre 2010, le pourcentage de sites hébergeant des téléchargements

intempestifs automatiques en Allemagne était 3,7 fois supérieur à celui observé aux États-Unis.

Le taux de sites hébergeant des téléchargements intempestifs automatiques au Japon était

12 % plus élevé qu'aux États-Unis au premier semestre 2010. Bien que ce pourcentage ait

brutalement chuté dans les deux pays au quatrième trimestre 2010, le même taux est resté

4,7 fois plus élevé qu'aux États-Unis à cette même période.

36

Les experts en sécurité de ces pays/régions indiquent que les facteurs suivants contribuent aux

faibles taux d'infection par des programmes malveillants dans leur pays :

De solides partenariats entre secteurs public et privé offrent des capacités proactives et

réactives.

Les CERT (computer emergency response team - équipe de réaction d'urgence informatique),

les fournisseurs d'accès Internet (FAI) et autres acteurs à l'affût des menaces permettent de

réagir rapidement aux menaces émergentes.

La culture IT implique une réponse rapide des administrateurs système aux rapports

d'infections ou d'abus du système.

L'application de politiques et la correction active de menaces en mettant en quarantaine les

systèmes infectés sur les réseaux du pays/de la région sont efficaces.

Des campagnes d'information et l'attention des médias sensibilisent le public aux problèmes

de sécurité.

Un faible taux de piratage de logiciels et la large utilisation de Windows Update/Microsoft

Update maintiennent des taux d'infection assez bas.

Cette liste présente des ressemblances frappantes avec le concept de défense collective

exposé dans un article de Scott Charney, vice-président de Trustworthy Computing chez

Microsoft, en 2010. « Collective Defense: Applying Public Health Models to the Internet »

(PDF) définit un modèle visant à améliorer la santé des périphériques connectés à Internet.

Pour y parvenir, les gouvernements, le secteur IT et les FAI doivent s'assurer de la santé des

périphériques des clients avant de leur accorder un accès illimité à Internet. L'approche proposée

consiste également à aborder les problèmes de sécurité en ligne à l'aide d'un modèle semblable

à celui utilisé par la société pour traiter les maladies humaines. Le modèle de la santé publique

englobe plusieurs concepts intéressants pouvant être appliqués à la sécurité Internet.

Les pays/régions les moins infectés au monde semblent déjà appliquer la plupart des actions

proposées par le modèle de santé de défense collective. Une vidéo sur ce modèle est disponible

sur le site Web de Trustworthy Computing ici.

37

37

Windows Update et Microsoft Update

Microsoft fournit divers outils et services permettant aux systèmes ou à leurs utilisateurs de

télécharger et d'installer des mises à jour directement depuis Microsoft ou, pour les professionnels,

de serveurs de mises à jour gérés par leurs administrateurs système. Le logiciel client de mise à jour

(appelé Mises à jour automatiques sous Windows XP et Windows Server 2003, et simplement

Windows Update sous Windows 7, Windows Vista et Windows Server 2008) se connecte à un

service de mise à jour pour la liste des mises à jour disponibles. Une fois que le programme de mise

à jour a déterminé les mises à jour applicables à chaque système unique, il installe les mises à jour

ou avertit l'utilisateur de leur disponibilité, selon la configuration du client et la nature de la mise à

jour.

Pour les utilisateurs, Microsoft fournit deux services utilisables par les programmes de mise à jour :

Windows Update fournit des mises à jour pour les composants Windows et les pilotes

de périphériques Microsoft ainsi que d'autres fournisseurs de matériel. Windows Update

diffuse également les mises à jour de signature pour les produits Microsoft anti-programmes

malveillants et la publication mensuelle de l'outil de suppression des logiciels malveillants.

Par défaut, lorsqu'un utilisateur active la mise à jour automatique, le client de mise à jour

se connecte automatiquement au service Windows Update pour les mises à jour.

Microsoft Update fournit toutes les mises à jour proposées par Windows Update ainsi que

pour d'autres logiciels Microsoft, comme le système Microsoft Office, Microsoft SQL Server

et Microsoft Exchange Server. Les utilisateurs peuvent s'inscrire à ce service en installant les

logiciels entretenus via Microsoft Update ou sur le site Web Microsoft Update.

Les clients avec de grandes infrastructures peuvent également utiliser Windows Server Update

Services (WSUS) ou la gamme de produits de gestion Microsoft System Center 2012 qui met à

disposition des services de mise à jour pour leurs ordinateurs gérés.

38

Figure 22. Utilisation de Windows Update et Microsoft Update, 2e semestre 2006 - 2e semestre 2011, indexée par rapport à l'utilisation

totale du 2e semestre 2006

Depuis son introduction en 2005, l'utilisation de Microsoft Update a considérablement

augmenté.

39

39

Conclusion

Cette édition spéciale du Rapport sur les données de sécurité fournit des informations sur

l'évolution des logiciels malveillants et autres formes de logiciels potentiellement non désirés

au cours des 10 dernières années.

L'informatique fait maintenant partie de notre vie quotidienne, et jour après jour, le numérique

s'impose en tant que base de la société moderne. La technologie de l'information et de la

communication (TIC) a transformé notre manière de vivre dans le bon sens, mais la société

fait toujours face à des défis de longue haleine, en constante évolution.

Devant le nombre croissant de personnes, d'ordinateurs et de périphériques connectés

à Internet, les cybermenaces sont de plus en plus sophistiquées dans leur capacité à recueillir

des données sensibles, perturber des opérations critiques et commettre des fraudes.

Aujourd'hui, ces cybermenaces sont souvent techniquement avancées, persistantes, bien

financées et motivées par le profit ou l'avantage stratégique. Les données de sécurité constituent

une ressource précieuse pour tous les utilisateurs d'Internet, que ce soit les entreprises, les

gouvernements et les consommateurs, confrontés à une pléiade de menaces tout sauf statiques.

Comme nous vivons dans un monde extrêmement dépendant de l'informatique, l'engagement

de Microsoft en matière de sécurité, de confidentialité et de fiabilité pourrait bien être plus

important aujourd'hui qu'à la création de Trustworthy Computing, en 2002.

Bon nombre de secteurs et d'entreprises, y compris Microsoft, investissent dans la recherche, des

méthodes de développement logiciel et des outils pour aider les gouvernements, l'industrie et les

particuliers à réduire et gérer les risques dus à l'incertitude associée aux menaces à l'évolution

fulgurante. Microsoft Trustworthy Computing continue à contribuer à l'écosystème informatique,

alors même que ce nouveau monde de périphériques, de services et de technologies de

communication poursuit son développement.

40

Annexe A : Technologies de protection informatique et restrictions

La lutte contre les menaces et les risques nécessite un effort concerté de la part des personnes,

des organisations et des gouvernements du monde entier. La section « Managing Risk » (Gestion

des risques) du site Web du rapport sur les données de sécurité Microsoft présente un éventail

de solutions visant à empêcher les actions nuisibles de logiciels malveillants, violations et autres

menaces de sécurité, ainsi qu'à détecter et limiter les problèmes lorsqu'ils se produisent.

Cette section du site Web aborde les sujets suivants :

La protection de l'entreprise, qui prodigue des conseils aux administrateurs IT d'entreprises

(petites, moyennes et grandes) de manière à améliorer leurs pratiques de sécurité et à se

tenir au courant des derniers développements.

La protection des logiciels, qui offre des informations aux développeurs de logiciels

concernant l'élaboration de logiciels sûrs, notamment internes, ainsi que la sécurisation

des systèmes associés à Internet contre les attaques.

La protection des personnes, qui propose des conseils sur la sensibilisation aux menaces

de sécurité et à l'utilisation sûre d'Internet au sein d'une organisation.

Vous trouverez davantage d'informations sur la vulnérabilité et les efforts de protection contre

les programmes malveillants dans les documents suivants :

Information Sharing and MSRC 2010, rapport du Microsoft Security Response Center

Livre blanc Mitigating Software Vulnerabilities

Malware research and response at Microsoft. Ce rapport se concentre sur le rôle et les activités

du Centre de protection Microsoft contre les programmes malveillants ainsi que sur notre

objectif de recherche et de réponse constantes et approfondies aux programmes malveillants.

Introducing Microsoft Antimalware Technologies. Ce livre blanc aide les professionnels IT

à comprendre le paysage global des programmes malveillants et comment tirer parti des

fonctionnalités de leur technologie anti-programmes malveillants.

41

41

Annexe B : Familles de menaces mentionnées dans ce rapport

Les définitions des familles de menaces mentionnées dans ce rapport sont adaptées

de l'encyclopédie du Centre de protection Microsoft contre les programmes malveillants, qui

contient des informations détaillées sur bon nombre de familles de programmes malveillants

et de logiciels potentiellement indésirables. Consultez l'encyclopédie pour plus d'informations

et de conseils concernant les familles reprises ici et tout au long du rapport.

Win32/Alureon. Cheval de Troie qui collecte des données confidentielles telles que des noms

d'utilisateur, des mots de passe et des informations de carte de crédit à partir du trafic Internet entrant

et sortant. Il peut également télécharger des données malveillantes et modifier les paramètres DNS.

Win32/Autorun. Famille de vers qui se diffusent en se copiant sur les lecteurs mappés

d'un ordinateur infecté. Ces lecteurs mappés peuvent être des lecteurs réseau ou amovibles.

Win32/Bagle. Ver qui se répand en s'envoyant par courrier électronique aux adresses

trouvées sur un ordinateur infecté. Certaines variantes se diffusent également par le biais

de réseaux P2P. Bagle se comporte comme un cheval de Troie de porte dérobée et peut

servir à propager d'autres logiciels malveillants.

Win32/ClickPotato. Programme qui affiche des publicités « pop-up » et des notifications

publicitaires selon les habitudes de navigation de l'utilisateur.

Win32/Conficker. Ver qui se propage en exploitant une vulnérabilité concernée par le Bulletin

de sécurité MS08-067. Certaines variantes se diffusent aussi via des lecteurs amovibles ou en

exploitant des mots de passe faibles. Il désactive des services système et des produits de sécurité

importants et télécharge des fichiers arbitraires.

Win32/FakeSpyPro. Famille de faux antivirus diffusée sous les noms Antivirus System PRO,

Spyware Protect 2009, etc.

Win32/Fixer. Programme malveillant qui localise diverses entrées de registre et autres types

de données, les identifie à tort comme violations de la vie privée et invite l'utilisateur à acheter

un produit pour supprimer les prétendues violations.

Win32/Frethog. Grande famille de chevaux de Troie voleurs de mots de passe qui ciblent

les données confidentielles, comme des informations de compte, à partir de jeux en ligne

massivement multijoueur.

42

Win32/Hiloti. Famille de chevaux de Troie qui interfèrent avec les habitudes de navigation

d'un utilisateur affecté, téléchargent et exécutent des fichiers arbitraires.

Win32/Keygen. Détection générique d'outils qui génèrent des clés de produit pour des

versions illicites de divers produits logiciels.

Win32/Msblast. Famille de vers réseau qui exploitent une vulnérabilité de

Microsoft Windows 2000 et Windows XP, pouvant même tenter des attaques par déni de

service (DoS) sur certains sites de serveur ou créer des programmes de porte dérobée qui

permettent à des personnes malveillantes d'accéder aux ordinateurs infectés.

Win32/Mydoom. Famille de vers de publipostage agissant comme des chevaux de Troie

de porte dérobée et permettant aux personnes malveillantes d'accéder aux systèmes infectés.

Win32/Mydoom peut également servir à diffuser d'autres programmes malveillants, et certaines

variantes lancent des attaques DoS contre des sites Web spécifiques.

Win32/Nimda. Famille de vers qui ciblent les ordinateurs qui exécutent certaines

versions de Windows et exploitent la vulnérabilité décrite dans le Bulletin de sécurité

Microsoft MS01-020 pour s'étendre, en infectant des documents de contenu Web et en

s'attachant aux messages électroniques.

Win32/OpenCandy. Logiciel publicitaire pouvant être attaché à certains programmes

d'installation de logiciels tiers. Certaines versions peuvent envoyer des informations spécifiques

à l'utilisateur, notamment un code machine unique, des informations sur le système d'exploitation,

des paramètres régionaux et certaines autres informations à un serveur distant sans le

consentement de l'utilisateur.

JS/Pornpop. Détection générique d'objets JavaScript spécialement conçus qui tentent d'afficher

des annonces « pop under », généralement du contenu pour adultes.

Win32/Rbot. Famille de chevaux de Troie de porte dérobée qui ciblent certaines versions de

Windows et permettent à des personnes malveillantes de contrôler les ordinateurs infectés par

le biais d'un canal IRC.

Win32/Renos. Famille de chevaux de Troie téléchargeurs qui installent de faux logiciels

de sécurité.

43

43

Win32/Rimecud. Famille de vers à plusieurs composants qui se diffusent via des lecteurs fixes et

amovibles ainsi que par la messagerie instantanée. Ils comprennent également une fonctionnalité

de porte dérobée qui permet d'accéder sans autorisation à un système infecté.

Win32/Rustock. Famille de plusieurs composants de chevaux de Troie de porte dérobée rootkit,

développés vers 2006 pour faciliter la distribution de courrier indésirable.

Win32/Sasser. Famille de vers réseau qui exploitent la vulnérabilité du service de sous-système

LSA (Local Security Authority) corrigée par la Mise à jour de sécurité Microsoft MS04-011.

Win32/Sdbot. Famille de chevaux de Troie de porte dérobée qui permettent aux personnes

malveillantes de contrôler les ordinateurs infectés.

Win32/Sircam. Famille de vers réseau de publipostage qui ciblent certaines versions de

Windows et se répandent en envoyant des copies d'eux-mêmes en pièce jointe de courrier

électronique à des adresses trouvées sur les ordinateurs infectés.

Win32/Starware. Barre d'outils de navigateur web qui surveille les recherches sur des moteurs

populaires, lance sa propre recherche en tandem et affiche les résultats dans un IFrame, dans la

fenêtre du navigateur.

Win32/Taterf. Famille de vers qui se propagent via des lecteurs mappés pour voler des

informations de connexion et de comptes de jeux en ligne populaires.

Win32/Wukill. Famille de vers de publipostage et réseau qui se répandent aux répertoires racines

de certains lecteurs locaux et mappés. Ils se diffusent également en envoyant des copies d'eux-

mêmes en pièce jointe de courrier électronique à des adresses trouvées sur les ordinateurs infectés.

Win32/Zlob. Grande famille à plusieurs composants de programmes malveillants qui modifient

les paramètres de Windows Internet Explorer, changent et redirigent les pages de recherche et

d'accueil Internet par défaut de l'utilisateur, et tentent de télécharger et d'exécuter des fichiers

arbitraires (notamment d'autres logiciels malveillants).

Win32/Zotob. Ver réseau qui cible principalement les ordinateurs Windows 2000 sur lesquels

le Bulletin de sécurité Microsoft MS05-039 n'est pas installé. Il exploite la vulnérabilité de

dépassement de la mémoire tampon de Windows Plug-and-Play.

Win32/Zwangi. Programme qui s'exécute en tant que service en arrière-plan et modifie

les paramètres du navigateur Web pour visiter un site Web particulier.

44