www.microsoft.com/sir

Microsoft Security Intelligence Report

Volume 12

JUILLET-DÉCEMBRE 2011

RÉSULTATS CLÉS

JUILLET-DÉCEMBRE 2011 3

Microsoft Security Intelligence Report Ce document ne peut être utilisé qu'à des fins d'information. MICROSOFT NE SE

PORTE GARANT, DE MANIÈRE EXPRESSE, IMPLICITE OU LÉGALE,

D'AUCUNE DES INFORMATIONS REPRISES DANS CE DOCUMENT.

Ce document est présenté « en l'état ». Les informations et opinions reprises dans

ce document, en ce compris les URL et autres références à des sites Web, sont

susceptibles d'être modifiées sans préavis. Vous assumez l'entière responsabilité de

l'utilisation de ces informations.

Copyright © 2012 Microsoft Corporation. Tous droits réservés.

Les noms d'entreprises et de produits existants mentionnés ci-après peuvent être

les marques commerciales de leurs propriétaires respectifs.

4 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

Microsoft Security Intelligence Report, volume 12

Le volume 12 du Microsoft® Security Intelligence Report (SIRv12) fournit un aperçu

précis des vulnérabilités et attaques logicielles, sur les menaces des codes

malveillants et sur les logiciels potentiellement indésirables de Microsoft et de

tiers. Microsoft a élaboré cet aperçu sur la base d'analyses de tendances détaillées

réalisées au cours des dernières années, avec un intérêt particulier pour le second

semestre 2011.

Ce document résume les principaux résultats du rapport. Le rapport complet

comprend également une analyse détaillée des tendances observées dans plus de

100 pays/régions du monde et propose des pistes de gestion des risques menaçant

votre organisation, vos logiciels et votre personnel.

SIRv12 contient les deux articles suivants qui abordent respectivement les menaces

liées au programme malveillant Conficker et les menaces persistantes avancées

(APT, Advanced Persistent Threats).

Propagation de Conficker

Cet article fournit des informations issues d'une analyse effectuée par Microsoft

afin de mieux comprendre pourquoi Conficker reste une menace majeure, en

particulier pour les entreprises. Cette analyse repose notamment sur des

renseignements obtenus lorsqu'il a été question de Conficker dans SIRv7.

Cet article démontre que Conficker reste une menace, traite en détail de la

dangerosité du programme malveillant et indique aux organisations les mesures

qu'elles peuvent prendre pour s'en protéger. Il est possible de télécharger l'analyse

complète depuis le site www.microsoft.com/sir.

JUILLET-DÉCEMBRE 2011 5

Adversaires déterminés et attaques ciblées

Les attaques ciblées contre les organisations, les gouvernements et les particuliers

se sont multipliées au cours des dernières années. Cet article présente ces

menaces, également appelées « menaces persistantes avancées » (APT, Advanced

Persistent Threats).

Cet article évoque les menaces que représentent les attaques ciblées menées par

des adversaires déterminés ; il définit également une stratégie défensive de

prévention, de détection, de confinement et de récupération. Il est possible de

télécharger l'analyse complète depuis le site www.microsoft.com/sir.

Il est possible de télécharger le rapport complet, ainsi que les volumes précédents

et les vidéos connexes, depuis le site www.microsoft.com/sir.

6 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

Évaluation internationale de la menace

Vulnérabilités

Les vulnérabilités sont définies comme les points faibles d'un logiciel permettant

à une personne mal intentionnée de compromettre l'intégrité, la disponibilité

ou la confidentialité de ce logiciel ou des données qu'il traite. Dans le pire des

cas, elle peut aller jusqu'à permettre aux personnes mal intentionnées d'exploiter

le système compromis afin d'exécuter du code malveillant, sans que l'utilisateur

ne s'en rende compte.

Figure 1. Tendances concernant la gravité des vulnérabilités (CVE), la complexité des vulnérabilités,

les divulgations par le fournisseur et les divulgations par type, pour l'ensemble du secteur des logiciels,

1S09-2S111

1 La nomenclature utilisée dans ce rapport pour désigner différentes périodes de référence correspond au format nSAA, où nS se rapporte à la première (1) ou seconde (2) moitié de l'année, et où AA représente l'année. Par exemple, 1S09 représente la période couvrant le premier semestre 2009 (du 1er janvier au 30 juin) et 2S11 désigne la période couvrant le second semestre 2011 (du 1er juillet au 31 décembre).

JUILLET-DÉCEMBRE 2011 7

La tendance globale du niveau de gravité des vulnérabilités a été positive.

Les trois classes de gravité CVSS ont connu une baisse entre 1S11 et

2S11 ; les divulgations liées aux classes de gravité moyenne et élevée

continuent à diminuer à chaque période depuis 2S09.

Codes malveillants

Un code malveillant est un code qui profite de vulnérabilités logicielles afin

d'infecter, de perturber ou de prendre le contrôle d'un ordinateur sans le

consentement de l'utilisateur et, en général, sans même qu'il en soit conscient.

Les codes malveillants visent des vulnérabilités dans des systèmes d'exploitation,

des navigateurs Web, des applications ou des composants logiciels installés sur

l'ordinateur. Pour plus d’informations, téléchargez le SIRv12 en intégralité depuis

le site www.microsoft.com/sir.

Figure 2. Codes malveillants détectés et bloqués par les logiciels anti-programme malveillant

de Microsoft pour chaque trimestre de 2011, par technologie ou plateforme cible

8 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

La détection des codes malveillants propagés via HTML ou JavaScript

a considérablement augmenté au cours du second semestre 2011,

principalement en raison de l'émergence de JS/Blacole, une famille de

codes malveillants utilisée par le kit de codes malveillants « Blackhole »

pour propager des logiciels malveillants par le biais de pages Web infectées.

La détection des codes malveillants qui ciblent les vulnérabilités des lecteurs

et éditeurs de documents a connu une hausse lors du 4T11, plaçant ainsi ces

vulnérabilités en troisième position des types de codes malveillants le plus

souvent détectés au cours de ce trimestre, principalement à cause du nombre

croissant de codes malveillants ciblant Adobe Reader.

JUILLET-DÉCEMBRE 2011 9

Programmes malveillants et potentiellement indésirables

Sauf spécification contraire, les informations de cette section ont été compilées

à partir de données de télémesure générées à partir de plus de 600 millions

d'ordinateurs dans le monde et plusieurs des services en ligne les plus sollicités

sur Internet. Les taux d'infection sont indiqués à l'aide d'une unité appelée

« ordinateurs nettoyés pour mille exécutions » (Computers Cleaned per Mille,

CCM) et représentent le nombre d'ordinateurs signalés comme étant nettoyés

au cours d'un trimestre toutes les 1 000 exécutions de l'outil de suppression des

programmes malveillants de Windows®, disponible via Microsoft Update et le site

Web du centre de sécurité Microsoft.

Pour fournir un aperçu global des modèles d'infection, la figure 3 indique les taux

d'infection dans le monde à l'aide de l'unité CCM. Le nombre de détections et de

suppressions dans les différents pays/régions peut varier fortement d'un trimestre

à l'autre.

Figure 3. Taux d'infection par pays/région au 4T11, par CCM

10 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

Figure 4. Taux d'infection (CCM) par système d'exploitation et Service Pack au 4T11

« 32 » = version 32 bits. « 64 » = version 64 bits. SP = Service Pack. RTM = Released To Manufacturing

(version finale), ou sans Service Pack. Systèmes d'exploitation pris en charge avec au moins 0,1 %

du nombre total d'exécutions au 4T11.

Ces données sont normalisées : le taux d'infection pour chaque version de

Windows est calculé en comparant un nombre égal d'ordinateurs par version

(par exemple, 1 000 ordinateurs Windows XP SP3 par rapport

à 1 000 ordinateurs Windows 7 RTM).

JUILLET-DÉCEMBRE 2011 11

Familles de menaces

Figure 5. Tendances en matière de détection pour certaines familles importantes en 2011

Win32/Keygen a été la famille la plus souvent détectée au 4T11, et la seule

des familles du top dix à enregistrer plus de détections au quatrième qu'au

premier trimestre de l'année. Keygen est une détection générique d'outils

qui génèrent des clés pour des versions illicites de divers produits logiciels.

Keygen, Win32/Autorun et Win32/Sality sont les seules familles du top

dix à afficher plus de détections au 4T11 qu'au 3T11.

Menaces pour les particuliers et les entreprises

La comparaison des menaces rencontrées par les ordinateurs appartenant

ou non à un domaine peut fournir un aperçu des différentes méthodes qu'utilisent

les personnes mal intentionnées pour cibler les entreprises et les particuliers. Cette

comparaison permet également de savoir quelles sont les menaces les plus

susceptibles d'aboutir dans chaque environnement.

12 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

Cinq familles sont présentes sur les deux listes, notamment les familles

génériques Win32/Keygen et Win32/Autorun, ainsi que la famille de codes

malveillants JS/Blacole.

Parmi les familles beaucoup plus répandues sur les ordinateurs appartenant

à un domaine, nous citerons Conficker, la famille de botnet Win32/Zbot

et le logiciel potentiellement indésirable Win32/RealVNC.

Parmi les familles beaucoup plus présentes sur les ordinateurs n'appartenant

pas à un domaine, nous citerons les familles de logiciels publicitaires

JS/Pornpop et Win32/Hotbar et la détection générique ASX/Wimad. Wimad

permet la détection de fichiers malveillants au format ASX (Advanced Stream

Redirector) utilisé par le Lecteur Windows Media.

JUILLET-DÉCEMBRE 2011 13

Menaces liées au courrier électronique

Courrier indésirable bloqué

Les informations présentes dans cette section du Microsoft Security Intelligence

Report sont compilées à partir de données de télémesure fournies par Microsoft

Forefront® Online Protection for Exchange (FOPE), qui offre des services de

filtrage de courrier indésirable, de courrier d'hameçonnage et de programmes

malveillants pour des milliers de clients d'entreprise Microsoft qui traitent des

dizaines de milliards de messages tous les mois.

Figure 6. Messages bloqués par FOPE tous les mois en 2011

14 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

FOPE a bloqué 14 milliards de messages en décembre 2011, soit moins

de la moitié du nombre de messages bloqués en janvier. Le déclin significatif

de messages bloqués observé en 2011 est probablement imputable à des

actions de manipulation menées à l'encontre de certains botnets à volume

élevé, dont le botnet Rustock en mars et le botnet Kelihos en septembre.

Ces actions, menées par Microsoft en coopération avec d'autres membres

du secteur des logiciels et des organismes chargés de l'application de la loi,

semblent avoir eu un impact significatif sur la capacité des personnes mal

intentionnées de faire parvenir leurs messages à un large public.

Les filtres de contenu FOPE permettent d'identifier plusieurs types courants

de courrier indésirable. La figure suivante illustre la présence relative de ces

types de courrier indésirable en 2011.

Figure 7. Messages entrants bloqués par les filtres FOPE au 2S11, par catégorie

JUILLET-DÉCEMBRE 2011 15

Sites Web malveillants

Les sites d'hameçonnage sont hébergés dans le monde entier sur des sites

d'hébergement gratuits, sur des serveurs Web compromis et dans de nombreux

autres contextes.

Figure 8. Sites d'hameçonnage pour 1 000 hôtes Internet dans différentes régions du monde au 2S11

L'Iran (avec 16,8 sites pour 1 000 hôtes) et la Corée (avec 5,52) comptent parmi

les zones accueillant des concentrations anormalement élevées de sites

d'hébergement de programmes malveillants.

Figure 9. Sites de distribution de programmes malveillants pour 1 000 hôtes Internet dans différentes

régions du monde au 2S11

16 MICROSOFT SECURITY INTELLIGENCE REPORT, VOLUME 12

Un site de téléchargements intempestifs automatiques est un site Web qui héberge un

ou plusieurs codes malveillants ciblant les vulnérabilités de navigateurs Web et de

modules complémentaires de navigateurs. Les ordinateurs vulnérables peuvent

être infectés par un programme malveillant après une simple visite d'un tel site

Web, sans même tenter de télécharger quoi que ce soit.

Figure 10. Pages de téléchargements intempestifs automatiques indexées par Bing.com à la fin du 4T11,

pour 1 000 URL dans chaque pays/région

One Microsoft Way

Redmond, WA 98052-6399

microsoft.com/security