Rapport annuel 2014 de Cisco sur la sécurité...2 Rapport annuel 2014 de Cisco sur la sécurité...

Rapport annuel 2014 de Cisco sur la sécurité

2 Rapport annuel 2014 de Cisco sur la sécurité

IntroductionLe problème de la confiance

L'exploitation de la confiance est un mode opératoire courant pour les escrocs en ligne et autres acteurs malveillants. Ils profitent de la confiance des utilisateurs dans le système, les applications, les personnes et les entreprises avec lesquels ils ont des interactions Et cette approche fonctionne : les preuves abondent de nouvelles méthodes élaborées par les trublions pour incorporer leurs programmes malveillants dans des réseaux, où ils restent sans être détectés pendant de longues périodes et volent des données ou perturbent des systèmes critiques.

Les acteurs malveillants utilisent des méthodes allant du vol de mots de passe et de codes d'accès par contact à des infiltrations furtives, bien cachées parce qu'elles ne le sont justement pas, exécutées en quelques minutes, pour continuer à exploiter la confiance du public afin de provoquer des conséquences dommageables. Le problème de la confiance dépasse toutefois l'exploitation de vulnérabilités par des criminels, ou l'attaque d'utilisateurs par ingénierie sociale : il sape aussi la confiance dans les entreprises publiques comme privées.

Aujourd'hui, les réseaux sont confrontés à deux formes d'érosion de la confiance. L'une est la baisse de la confiance des clients dans l'intégrité des produits. L'autre est l'accumulation de preuves de déjouement des mécanismes de confiance par des acteurs malveillants, qui mettent en cause l'efficacité des architectures d'assurance, d'authentification et d'autorisation des réseaux et des applications.

Dans ce rapport, Cisco présente des informations et des analyses des principales préoccupations liées à la sécurité comme l'évolution des programmes malveillants, les tendances en matière de vulnérabilités et la résurgence d'attaques de déni de service distribué (DDoS, distributed denial-of-service). Le rapport évoque également les campagnes qui ciblent des entreprises, groupes et secteurs d'activité spécifiques, ainsi que la sophistication croissante de ceux qui tentent de voler des informations sensibles. Il conclut en recommandant d'examiner les modèles de sécurité de manière holistique et d'acquérir une vision d'ensemble de l'épisode d'attaque : avant, pendant et après.

Les acteurs malveillants continuent à trouver

de nouvelles manières d'exploiter la confiance du public pour produire

des conséquences dommageables.

http://www.cisco.com


Principales découvertesLes trois principales conclusions du Rapport annuel 2014 de Cisco sur la sécurité sont présentées ci-dessous :

Les attaques contre les infrastructures ciblent des ressources importantes partout sur Internet.

• Les exploitations malveillantes accèdent aux serveurs hôtes, serveurs de noms et centres de données. Cela suggère la formation d'überbots (super-réseaux de zombies) en quête d'actifs d'excellente réputation et riches en ressources.

• Les erreurs de mémoire tampon constituent une menace majeure, avec 21 pour cent des catégories de menaces identifiées dans le Recensement des faiblesses courantes (CWE, Common Weakness Enumeration).

• Les programmes malveillants se retrouvent maintenant dans les secteurs électronique, manufacturier, agricole et minier, avec une fréquence près de six fois plus élevée que la moyenne.

Les acteurs malveillants utilisent des applications auxquelles les utilisateurs font confiance pour exploiter des failles de sécurité périmétrique.

• Le spam (pourriel) poursuit sa tendance à la baisse, bien que la proportion de spam à intention malveillante reste constante.

• Java constitue 91 pour cent des exploitations de failles sur le Web ; 76 pour cent des sociétés qui utilisent les services de Cisco Web Security utilisent Java 6, une version en fin de vie qui ne bénéficie plus de support.

• Les attaques de « points d'eau » ciblent des sites précis liés à un secteur d'activité donné et qui sont contaminés par des programmes malveillants.

Des investigations menées au sein de multinationales révèlent des atteintes internes. Un trafic suspect provient de leurs réseaux et tente de se connecter à des sites douteux (100 pour cent des sociétés appellent des hôtes de programmes malveillants).

• Les indicateurs d'atteintes indiquent que la pénétration des réseaux peut rester indécelée pendant de longues périodes.

• Les alertes relatives à des menaces ont progressé de 14 pour cent sur douze mois ; les nouvelles alertes (par opposition à des mises à jour d'alertes) sont en augmentation.

• En 2013, quatre-vingt-dix-neuf pour cent des programmes malveillants mobiles ciblaient des périphériques Android. Les utilisateurs d'Android enregistrent aussi le plus fort taux de rencontre (71 pour cent) de toutes les formes de programmes malveillants transmis par Internet.



Table des matières du Rapport : Le Rapport annuel 2014 de Cisco sur la sécurité présente des informations sur la sécurité dans quatre domaines essentiels :

La confiance

Toutes les entreprises devraient se soucier de trouver le juste équilibre entre confiance, transparence et confidentialité, car les enjeux sont considérables. Dans ce domaine, nous traitons de trois pressions qui rendent encore plus difficiles les tentatives des praticiens de la sécurité pour aider leurs entreprises à parvenir à cet équilibre :

•Surface d'attaque accrue

•Prolifération et sophistication du modèle d'attaque

•Complexité des menaces et solutions

L’expertise en matière de menaces

S'appuyant sur le plus grand ensemble d'outils de télémétrie de détection disponible, Cisco et Sourcefire ont analysé et compilé ensemble des informations sur la sécurité concernant l'année écoulée :

•Les attaques contre les infrastructures ciblent des ressources importantes partout sur Internet.

•Les acteurs malveillants utilisent des applications auxquelles les utilisateurs font confiance pour exploiter des failles de la sécurité périmétrique.

•Les indicateurs d'atteinte suggèrent que les pénétrations de réseaux peuvent rester indécelées pendant de longues périodes.



Le secteur d'activité

Dans cette section, les enquêteurs de Cisco Security Intelligence Operations (SIO) élèvent le débat aux tendances sectorielles qui dépassent la télémétrie de Cisco et affectent pourtant toujours les pratiques en matière de sécurité, des tentatives d'accès en force aux activités de DDoS à grande échelle, en passant par les faux logiciels de décodage et de protection (ransomware), la dépendance croissante vis-à-vis du cloud et la pénurie d'experts de la sécurité, entre autres préoccupations.

Recommandations

Les entreprises sont confrontées à une surface d'attaque accrue, à la prolifération et à la sophistication croissantes des modèles d'attaque, ainsi qu'à une plus grande complexité au sein du réseau. Beaucoup d'entre elles peinent à affermir une vision de la sécurité soutenue par une stratégie efficace qui utilise de nouvelles technologies, simplifie leur architecture et leurs activités et renforce leurs équipes de sécurité.

Cette section traite de la manière dont un modèle de sécurité axé sur les menaces permet à ses défenseurs d'affronter le cycle complet de l'attaque, tous vecteurs confondus, et à y répondre à tout moment, tout le temps, de manière continue, avant, pendant et après l'attaque.



Comment Cisco évalue le paysage des menaces

Cisco joue un rôle critique dans l'évaluation des menaces, eu égard à la prévalence de ses solutions et à l'ampleur de sa veille sécuritaire :

• 16 milliards de requêtes sur le Web sont inspectées chaque jour par le biais de Cisco Cloud Web Security

• 93 milliards de messages électroniques sont inspectés chaque jour par la solution de messagerie hébergée de Cisco

• 200 000 adresses IP sont évaluées chaque jour

• 400 000 échantillons de programmes malveillants sont évalués chaque jour

• 33 millions de fichiers de terminaux sont évalués chaque jour par FireAMP

• 28 millions de connexions au réseau sont évaluées chaque jour par FireAMP

Cette activité a permis à Cisco de détecter les menaces suivantes :

• 4,5 milliards de messages électroniques sont bloqués chaque jour

• 80 millions de requêtes sur le Web sont bloquées chaque jour

• 6450 détections de fichiers de terminaux se produisent chaque jour dans FireAMP

• 3186 détections de réseau de terminaux se produisent chaque jour dans FireAMP

• 50 000 intrusions dans le réseau sont détectées chaque jour



Table des matièresLa confiance .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

Nouvelles pratiques des affaires, nouvelles failles sécuritaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9L'érosion de la confiance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Principaux défis sécuritaires pour 2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Des systèmes fiables et transparents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

L’expertise en matière de menaces .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Augmentation des signalements de menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21Le volume du spam est en baisse, mais les spams malveillants continuent à constituer une menace . . . . . . . . . . . . .24Exploitation de failles sur le Web : Java en tête . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29BYOD et mobilité : La maturation des périphériques profite aux cybercriminels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Attaques ciblées : Le défi du délogement de « visiteurs » persistants et envahissants. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37Instantané des programmes malveillants : tendances observées en 2013 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Principales cibles : Marchés verticaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42Des fractures dans un écosystème fragile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44Trafic malveillant, souvent révélateur d'attaques ciblées, détecté dans tous les réseaux d'entreprise . . . . . . . . . . . . . 49

Le secteur d'activité .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Les tentatives d'accès en force constituent une tactique privilégiée pour compromettre des sites Web . . . . . . . . . 54Attaques DDoS : ce qui revient en vogue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56DarkSeoul . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58La pénurie d'experts de la sécurité et le décalage des solutions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61Le cloud, un nouveau périmètre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Recommandations .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Objectifs pour 2014 : vérifier la fiabilité et améliorer la visibilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Annexe .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68Les entreprises de sécurité ont besoin de spécialistes des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

À propos de Cisco SIO .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78Cisco SIO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79

À propos de ce document Ce document contient des éléments qui peuvent être consultés et partagés.

Recherchez cette icône pour ouvrir la fonctionnalité « chercher » dans Adobe Acrobat.

Logiciels recommandés Adobe Acrobat Version 7.0 et plus récente

Recherchez ces icônes pour partager des contenus.[ ]



La confianceToutes les entreprises doivent se préoccuper de trouver le juste équilibre entre confiance, transparence et confidentialité, car les enjeux sont considérables.


9 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Confiance

Nouvelles pratiques des affaires, nouvelles failles sécuritairesLa faiblesse de maillons de la chaîne d'approvisionnement technologique constitue l'un des aspects du paysage contemporain complexe des cybermenaces et du risque.

Il en est de même de l'émergence de l'infrastructure any-to-any (de chacun vers tous les autres), dans laquelle tout périphérique, où qu'il soit, peut survenir à n'importe quelle instanciation du réseau.1 On assiste également à la prolifération ininterrompue de périphériques à même d'accéder à Internet (téléphones intelligents, tablettes, etc.), qui essaient de se connecter à des applications pouvant être exécutées n'importe où, notamment dans un cloud public de logiciel-service (SaaS), un cloud privé ou un cloud hybride.2 Les services d'infrastructure Internet de base eux-mêmes sont devenus des cibles pour les pirates qui veulent tirer profit de la réputation, du débit, et de la disponibilité permanente des serveurs d'hébergement Web, de serveurs de nom et de centres de données pour lancer des campagnes de plus en plus massives. Voir « Des fractures dans un écosystème fragile », page 44.)

Si des tendances telles que l'informatique cloud et la mobilité réduisent la visibilité et augmentent la complexité de la sécurité, les entreprises doivent tout de même les adopter, car elles sont essentielles pour leur assurer un avantage sur la concurrence et la réussite de leurs affaires. Des failles de sécurité apparaissent toutefois, et se creusent, tandis que les équipes de sécurité s'efforcent d'adapter des solutions traditionnelles à des façons de faire des affaires nouvelles et en évolution rapide. Pendant ce temps, les acteurs malveillants accélèrent leur exploitation de failles que des solutions ponctuelles non intégrées ne peuvent tout simplement pas combler. Ils réussissent parce qu'ils disposent de ressources qui leur permettent d'être plus agiles.

Le réseau cybercriminel s'étend, se renforce et fonctionne de plus en plus comme n'importe quel réseau d'affaires légitime et sophistiqué. Aujourd'hui, la hiérarchie cybercriminelle ressemble à une pyramide (voir Figure 1). Au bas de la pyramide se trouvent les opportunistes non techniques et les utilisateurs de logiciels criminels fournis comme un service (« crimeware-as-a-service ») qui cherchent par leurs campagnes à gagner de l'argent, à proclamer une position, ou les

L'infrastructure de base d'Internet est devenue

une cible pour les pirates.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9004dfok&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=

https://www.facebook.com/sharer/sharer.php?u=http%3A%2F%2Fwww.cisco.com%2Fweb%2Foffers%2Flp%2F2014-annual-security-report%2Findex.html%3FPOSITION%3Dsocial%252bmedia%252bshare%26COUNTRY_SITE%3Dus%26CAMPAIGN%3Dasr2014%26CREATIVE%3Dpage%252b9%252bquote%26REFERRING_SITE%3Dfacebook&t

http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9001d79l&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%209%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20emerging%20security%20gaps.%0A%0Ahttp%3A//cs.co/9008d79s


deux. À mi-hauteur se trouvent les revendeurs et ceux qui entretiennent l'infrastructure, les « intermédiaires ». Au sommet, on trouve les innovateurs techniques, les acteurs majeurs que les forces de police recherchent le plus, mais peinent à identifier.

Les cybercriminels modernes ont généralement des objectifs de gestion clairs quand ils lancent leurs attaques. Ils savent quelles informations ils recherchent ou quels résultats ils veulent obtenir et connaissent le cheminement qu'ils doivent suivre pour atteindre ces objectifs. Ils passent beaucoup de temps à effectuer des recherches sur leurs cibles, souvent par le biais d'informations publiques sur les réseaux sociaux, ainsi qu'à planifier leurs objectifs de manière stratégique.

De nombreux acteurs de l'économie dite « de l'ombre » envoient aussi désormais des programmes malveillants de surveillance pour collecter des informations sur un environnement, notamment sur la technologie de sécurité déployée, afin de pouvoir cibler leurs attaques. Cette reconnaissance préalable permet à certains auteurs de programmes malveillants de s'assurer du fonctionnement de leurs programmes. Une fois introduit dans un réseau, le programme malveillant élaboré qu'ils ont conçu peut communiquer avec les serveurs de commande et de contrôle à l'extérieur et se propager latéralement dans l'infrastructure pour exécuter sa mission, qu'il s'agisse du vol de données essentielles ou de la perturbation de systèmes critiques.

FIGURE 1

La hiérarchie cybercriminelle

Innovateurs techniques

Revendeurs / Agents de maintenance de l'infrastructure

Opportunistes non techniques / Utilisateurs de logiciels criminels fournis comme un service

(« Crimeware-as-a-Service »)

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9001dfo5&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9002d79a&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2010%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20read%20more%20about%20the%20%22Shadow%20Economy.%22%0A%0Ahttp%3A//cs.co/9004d7ir


Une érosion de la confianceLes menaces conçues pour tirer profit de la confiance qu'ont les utilisateurs dans les systèmes, les applications et les personnes et entreprises qu'ils connaissent sont désormais des phénomènes constants du monde virtuel.

La dissection de pratiquement n'importe quelle machination permet d'identifier, au cœur de celle-ci, une forme d'abus de confiance : des programmes malveillants transmis à des utilisateurs qui naviguaient en toute légitimité sur des sites Web grand public. Des pourriels qui semblent avoir été envoyés par des sociétés de bonne réputation, mais qui contiennent des liens vers des sites malveillants. Des applications mobiles de tiers truffées de programmes malveillants et téléchargées à partir de boutiques en ligne connues. Des collaborateurs qui utilisent leurs privilèges d'accès à des informations pour voler des éléments de propriété intellectuelle de leurs employeurs.

Les utilisateurs devraient peut-être présumer que rien, dans le monde du virtuel, ne mérite leur confiance. De leur côté, les professionnels de la sécurité pourraient rendre service à leurs entreprises en ne faisant confiance à aucun trafic sur le réseau3, ou en n'accordant pas une pleine confiance aux pratiques de sécurité des tiers ou des chaînes d'approvisionnement qui fournissent de la technologie à leur entreprise. Pourtant, les entreprises des secteurs public et privé, les utilisateurs individuels et même les États-nations veulent être assurés qu'ils peuvent faire confiance aux technologies fondamentales dont ils dépendent au quotidien.

Ce besoin de confiance dans la sécurité a contribué à faire progresser les Critères communs pour l'évaluation de la sécurité informatique (Common Criteria for Information Technology Security Evaluation) (Common Criteria, Critères communs), les notions et le cadre qui permettent aux agences gouvernementales et autres groupes de définir les besoins qui doivent être satisfaits par les produits technologiques pour garantir qu'ils sont dignes de confiance. À ce jour, 26 pays dont les États-Unis participent à l'Accord de reconnaissance des critères communs, un accord multilatéral qui prévoit la reconnaissance réciproque par les gouvernements participants de produits qui ont été soumis à évaluation.

En 2013 cependant, la confiance a, de manière générale, subi un revers. Le catalyseur : Edward Snowden. L'ancien sous-traitant du gouvernement américain a divulgué des informations

Tous les utilisateurs devraient poser pour principe que rien n'est

digne de confiance dans le monde du virtuel.




classifiées au journal britannique The Guardian, qu'il avait obtenues alors qu'il effectuait une mission pour la National Security Agency (NSA, Agence américaine pour la sécurité nationale).4

Les révélations de Snowden aux médias comprennent, à ce jour, des informations sur le programme de surveillance et de collecte de données de la NSA, dénommé PRISM,5 ainsi qu'un autre programme NSA-GCHQ6 dénommé MUSCULAR, par lequel des réseaux de fibre optique transportant du trafic depuis les centres de données de grandes sociétés de l'Internet à l'étranger auraient été soumis à des écoutes.7

Ces révélations et d'autres de Snowden sur les pratiques de surveillance du gouvernement ont érodé la confiance à de nombreux niveaux : entre États-nations, entre les gouvernements et le secteur privé, entre les citoyens et leur gouvernement et entre les citoyens et les entreprises des secteurs public et privé. Elles ont aussi naturellement fait naître des inquiétudes sur la présence et les risques potentiels de vulnérabilités involontaires et de « portes dérobées » délibérément créées dans des produits technologiques, ainsi que sur l'intensité des efforts des fournisseurs pour empêcher ces faiblesses et protéger les utilisateurs finals.

Principaux défis pour la sécurité en 2014Avec l'érosion de la confiance, et alors qu'il devient plus difficile de distinguer les systèmes et relations dignes de confiance de ceux qui ne le sont pas, les entreprises sont confrontées à plusieurs grands écueils qui affectent leur capacité à résoudre les problèmes de sécurité :

1 | Une surface d'attaque plus étendue2 | La prolifération et la sophistication du modèle d'attaque3 | La complexité des menaces et des solutions

Ensemble, ces problèmes créent et exacerbent les failles de sécurité qui permettent aux acteurs malveillants de lancer leurs attaques d'exploitation des failles plus rapidement que les entreprises ne peuvent remédier aux faiblesses de leur sécurité.

Ces menaces et ces risques sont examinés plus en détail dans les pages qui suivent.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9001dfoU&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9006d7ie&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2012%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20key%20issues%20undermining%20security.%0A%0Ahttp%3A//cs.co/9009d7i9


1 | Une surface d'attaque plus étendue

La surface d'attaque présente aujourd'hui pour les acteurs malveillants des possibilités infinies de saper un écosystème sécuritaire immense et fragile. Cette surface a connu une croissance exponentielle et sans fin, avec une multitude de terminaux, de points d'intrusion et de données que l'entreprise ne contrôle pas.

Les données sont le but des campagnes de la plupart des adversaires, parce qu'elles sont synonymes de crédibilité. Si des données ont une « valeur de revente », qu'il s'agisse de la propriété intellectuelle d'une grande entreprise ou des données sur la santé d'un individu, elles sont désirables et, de ce fait, exposées à un risque. Si la valeur de la cible est supérieure au risque de la compromettre, elle sera piratée. Même de petites entreprises sont exposées à un risque de piratage. En outre, la plupart des entreprises, grandes ou petites, ont déjà été compromises sans même le savoir : 100 pour cent des réseaux d'entreprise analysés par Cisco présentent un trafic à destination de sites qui hébergent des programmes malveillants.

FIGURE 2

L'anatomie d'une menace moderne

Applications Internet et dans le cloud

Réseau public

Campus

Périmètre

Grandes entreprises

Datacenter

Le point d'entrée de l'infection se situe en dehors de l'entreprise

Une cybermenace avancée contourne les défenses périmétriques

La menace se propage et tente d'ex�ltrer des données de grande valeur




https://www.facebook.com/sharer/sharer.php?u=http%3A%2F%2Fwww.cisco.com%2Fweb%2Foffers%2Flp%2F2014-annual-security-report%2Findex.html%3FPOSITION%3Dsocial%252bmedia%252bshare%26COUNTRY_SITE%3Dus%26CAMPAIGN%3Dasr2014%26CREATIVE%3Dfigure%252b2%26REFERRING_SITE%3Dfacebook&t

http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9008d7cp&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2013%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20the%20anatomy%20of%20modern%20threat.%0A%0Ahttp%3A//cs.co/9001d7cX


L'anatomie d'une menace moderne, illustrée dans la Figure 2, fait ressortir le but ultime de nombreuses campagnes cybercriminelles : atteindre le datacenter et en extraire des données de grande valeur. Dans cet exemple, une action malveillante affecte un périphérique extérieur au réseau de l'entreprise. Elle provoque une infection qui se propage à un réseau de campus. Ce réseau sert de rampe de lancement pour le réseau de l'entreprise, puis la menace poursuit son avancée vers le trésor : le datacenter.

Au vu de la surface d'attaque croissante et du ciblage par les pirates de données de grande valeur, les experts de la sécurité de Cisco recommandent aux entreprises de s'efforcer de répondre à deux questions importantes en 2014 : « Où résident nos données critiques ? » et « Comment pouvons-nous créer un environnement sécurisé pour protéger ces données, surtout lorsque de nouveaux modèles de gestion tels que l'informatique dans le nuage et la mobilité nous laissent peu de contrôle sur ces données ? »

2 | Prolifération et sophistication du modèle d'attaque

Le paysage des menaces actuel n'a plus rien à voir avec ce qu'il était il y a seulement 10 ans. Les attaques simples qui provoquaient des dommages endiguables ont laissé la place à des opérations cybercriminelles modernes sophistiquées, bien financées et à même de provoquer des perturbations majeures pour les entreprises.

Les sociétés sont devenues le point de mire des attaques ciblées. Celles-ci sont très difficiles à détecter, restent dans les réseaux pendant de longues périodes et amassent des ressources du réseau pour lancer des attaques ailleurs.

Pour couvrir tout le spectre des attaques, les entreprises doivent affronter un vaste éventail de vecteurs d'attaque, avec des solutions qui fonctionnent partout où la menace peut se manifester : sur le réseau, sur les terminaux, sur les périphériques mobiles et dans les environnements virtuels.

« Où résident nos données critiques ? » et « Comment pouvons-nous créer un environnement sûr pour protéger ces données, surtout quand de nouveaux modèles de gestion comme l'informatique cloud et la mobilité ne nous laissent guère de contrôle sur celles-ci ? »Experts de la sécurité de Cisco

Le but ultime de nombreuses campagnes

cybercriminelles est d'atteindre le datacenter et d'exfiltrer des données

de grande valeur.




3 | Complexité des menaces et des solutions

L'époque est révolue où les bloqueurs de spam et les antivirus pouvaient aider à protéger un périmètre de réseau facile à définir contre la plupart des menaces. Aujourd'hui, les réseaux dépassent les frontières traditionnelles, évoluent en permanence et créent de nouveaux vecteurs d'attaque : périphériques mobiles, applications sur Internet et mobiles, hyperviseurs, médias sociaux, navigateurs Web, ordinateurs personnels et même véhicules. Les solutions « point-in-time » (ponctuelles) ne peuvent pas répondre à la myriade de technologies et de stratégies utilisées par les acteurs malveillants. Cela rend la surveillance et la gestion de la sécurité des informations encore plus délicates pour les équipes de sécurité.

La vulnérabilité des entreprises augmente, car les entreprises appliquent à des plates-formes de gestion multiples des solutions ponctuelles désagrégées. Le résultat en est un ensemble de technologies disparates appliquées à des points de contrôle qui n'ont jamais été conçus pour fonctionner ensemble. Cela augmente le potentiel d'atteinte aux informations des clients, à leur propriété intellectuelle et à leurs autres informations sensibles, et met en danger la réputation des sociétés.

Il est nécessaire de disposer d'une capacité continue offrant la meilleure occasion de réagir aux défis d'environnements de menace complexes. Les attaques incessantes ne se produisent pas à un moment précis : elles sont permanentes. Les défenses des sociétés doivent donc l'être aussi.

Dans un contexte de complexité des menaces et des solutions correspondantes plus aiguë que jamais, les entreprises doivent repenser leur stratégie de sécurité. Au lieu de se fier à des solutions ponctuelles, elles peuvent réduire cette complexité en intégrant systématiquement la sécurité dans la trame de leur réseau lui-même, de sorte que celui-ci puisse :

•Effectuer un suivi et une analyse continus des fichiers et identifier les comportements malveillants qui s'ensuivent quel que soit le moment où ils se manifestent.

•Aider les entreprises à étendre leur couverture en multipliant la surface sur laquelle des appareils de mise en réseau peuvent être placés.

•Raccourcir le délai de détection, parce qu'il peut voir plus de trafic.

•Conférer aux entreprises la capacité d'agréger une sensibilité au contexte unique qu'il est impossible d'obtenir en se fiant à des périphériques sans substitution possible en matière de sécurité.

Les solutions ponctuelles ne peuvent

pas répondre à la myriade de technologies et de

stratégies utilisées par les acteurs malveillants.




Le passage à la mobilité et aux services cloud impose un fardeau sécuritaire plus lourd à des terminaux et des périphériques mobiles qui, dans certains cas, ne viendront même jamais en contact avec le réseau de l'entreprise. Le fait est que les périphériques mobiles introduisent un risque de sécurité quand ils sont utilisés pour accéder aux ressources des sociétés ; ils peuvent facilement se connecter avec des services de tiers en mode cloud et à des ordinateurs au statut sécuritaire potentiellement inconnu et échappant au contrôle de l'entreprise. En outre, les programmes malveillants pour périphériques mobiles se multiplient rapidement, ce qui augmente encore les risques. Compte tenu de l'absence de visibilité, même la plus élémentaire, la plupart des équipes de sécurité informatique n'ont pas la capacité d'identifier les menaces potentielles provenant de ces appareils.

Les approches avancées telles que la capacité continue joueront un rôle plus important dans la lutte contre les programmes malveillants sophistiqués, par le biais d'outils d'analyse de métadonnées qui agrègent les données et les événements sur un réseau étendu de manière à offrir une visibilité accrue même après qu'un fichier a été déplacé sur le réseau ou entre des terminaux. Cette approche diffère de la sécurité ponctuelle aux terminaux, qui analyse les fichiers à un point initial dans le temps pour établir la présence d'un programme malveillant. Les programmes malveillants sophistiqués peuvent échapper à cette analyse et s'installer rapidement sur des terminaux avant de se diffuser à l'ensemble du réseau affecté.

Des systèmes fiables et transparentsAu vu de l'étendue toujours grandissante de la surface d'attaque, de la prolifération et de la sophistication croissantes du modèle d'attaque, ainsi que de la complexité des menaces et des solutions, les utilisateurs ont besoin de pouvoir faire confiance aux informations dont ils sont consommateurs, ainsi qu'aux systèmes qui les fournissent, quelle que soit la manière dont ces utilisateurs accèdent aux services en réseau. La création d'un environnement de réseau véritablement sûr devient de plus en plus complexe à mesure que les gouvernements et les entreprises investissent dans la mobilité,

Les périphériques mobiles introduisent un risque de sécurité lorsqu'ils sont utilisés

pour accéder aux ressources de

l'entreprise.




la collaboration, l'informatique cloud et d'autres formes de virtualisation. Ces capacités contribuent à améliorer la résilience, à accroître l'efficacité et à réduire les coûts, mais peuvent aussi introduire des risques supplémentaires. La sécurité des processus de fabrication qui créent des produits informatiques est désormais aussi exposée à des risques, les produits contrefaits et falsifiés constituant un problème de plus en plus prégnant. De ce fait, les responsables gouvernementaux et d'entreprises identifient massivement la cybersécurité et les problèmes de confiance qui s'y rapportent comme des préoccupations majeures. La question que les praticiens de la sécurité devraient poser est : que ferions-nous différemment si nous savions qu'une atteinte est imminente ?

Les acteurs malveillants recherchent et exploitent les faiblesses de la chaîne d'approvisionnement technologique en matière de sécurité. Les vulnérabilités et les portes dérobées créées délibérément dans les produits technologiques peuvent finir par leur donner accès à la totalité de la propriété. Les portes dérobées constituent depuis longtemps un problème de sécurité et devraient préoccuper les entreprises, car leur seule raison d'être est de faciliter les activités clandestines ou criminelles.

L'élaboration de systèmes fiables implique d'incorporer la sécurité dans la trame même des systèmes, du début à la fin du cycle de vie du produit. Le Cisco Secure Development Life cycle (CSDL,cycle de vie de développement sécurisé Cisco)8 prescrit une méthodologie réplicable et mesurable conçue pour incorporer la sécurité du produit au stade de sa conception, minimiser les vulnérabilités en cours de développement et augmenter la résilience des produits face aux attaques.

Les systèmes fiables fournissent la base d'une approche d'amélioration continue de la sécurité qui anticipe sur les nouvelles menaces et les empêche de se matérialiser. Ces infrastructures protègent non seulement les informations essentielles, mais surtout aident à éviter l'interruption de services indispensables. Les produits fiables qui bénéficient du support de fournisseurs de confiance permettent à leurs utilisateurs de minimiser les coûts et les atteintes à leur réputation résultant du détournement d'informations, d'interruptions de service et de violation des informations.

Il convient toutefois de ne pas confondre systèmes fiables avec imperméabilité à toute attaque de l'extérieur. Les clients et utilisateurs d'informatique ont un rôle important à jouer pour maintenir l'efficacité des systèmes fiables à déjouer les tentatives de corruption de leurs activités. Il s'agit notamment d'installer à temps les mises à jour et correctifs de sécurité, de se montrer constamment vigilant pour reconnaître des comportements anormaux des systèmes et d'appliquer des contre-mesures efficaces en cas d'attaque.

Les acteurs malveillants recherchent et exploitent

toute faiblesse sécuritaire dans la chaîne

d'approvisionnement en technologie.




La technologie n'est pas immobile. Les agresseurs non plus. Pour assurer la fiabilité d'un système, il faut couvrir tout le cycle de vie du réseau, de sa conception initiale à sa mise au rebut, en passant par sa fabrication, l'intégration du système, le fonctionnement au jour le jour, la maintenance et les mises à jour.

Le besoin de systèmes fiables dépasse le propre réseau d'une entreprise et s'étend aux réseaux auxquels elle se connecte. Les équipes Cisco Security Research and Operations ont observé une utilisation croissante du « pivoting » au cours de l'année écoulée. En matière de cybercriminalité, il s'agit d'utiliser une porte dérobée, une vulnérabilité ou simplement de pratiquer un abus de confiance à un point donné de la chaîne d'attaque, et de s'en servir comme tremplin pour lancer une campagne beaucoup plus sophistiquée contre des cibles beaucoup plus substantielles, comme le réseau d'une société d'énergie majeure ou le datacenter d'un établissement financier. Certains pirates utilisent la confiance qui existe entre entreprises comme base de leur pivot, en exploitant un partenaire de confiance pour cibler et exploiter un autre partenaire d'affaires, entreprise ou gouvernement, à son insu.

La vigilance est de mise dans l'environnement de menace contemporain. La sécurité doit s'adapter à tous les états transitoires qui font partie de l'environnement informatique de l'entreprise, en validant la fiabilité du système de manière mesurable et objective, à partir de données et processus indépendants et pouvant être confirmés L'approche la plus durable est une défense dynamique adaptée à l'environnement unique de l'entreprise, comprenant des contrôles de sécurité qui évoluent en permanence pour rester toujours pertinents.9

Des systèmes fiables peuvent exister dans cet environnement et la transparence est essentielle pour les élaborer. “« Un système fiable doit reposer sur une base solide : des pratiques de développement de produit, une chaîne d'approvisionnement fiable et une approche architecturale comprenant conception de réseau, implémentation et

Principales préoccupations pour 2014, exprimées par les CISO d'aujourd'huiLorsque les responsables de la sécurité informatique (CISO, chief information security officers) examinent le paysage de menaces actuel, ils sont confrontés à des pressions croissantes : protéger des téraoctets de données, respecter des réglementations rigoureuses et évaluer les risques qu'il y a à collaborer avec des fournisseurs tiers, le tout avec des budgets en baisse et des équipes informatiques restreintes. Les CISO ont plus de tâches que jamais et des menaces sophistiquées et complexes à gérer. Les principaux stratèges en matière de sécurité pour le compte des services de sécurité de Cisco, qui conseillent les CISO sur les approches de sécurité pour leurs entreprises, présentent cette liste des préoccupations et challenges les plus urgents pour 2014 :

Gérer la conformité

La préoccupation la plus répandue chez les CISO est peut-être la nécessité de protéger des données qui résident sur un réseau de plus en plus poreux, tout en mobilisant des ressources précieuses concernant la conformité. À elle seule, la conformité n'induit pas la sécurité ; ce n'est qu'une directive a minima qui se concentre sur les besoins d'un environnement réglementé particulier. La sécurité, quant à elle, est une approche globale qui recouvre toutes les activités d'entreprise.

Faire confiance au cloud

Les CISO doivent prendre des décisions sur la manière de gérer

Suite page suivante




politiques », affirme John N. Stewart, Vice-président principal et responsable de la sécurité de Cisco. « Toutefois, l'attribut le plus important est la transparence du fournisseur. »

Une transparence accrue s'accompagne immanquablement d'une perte de confidentialité, mais il est possible de parvenir à un juste équilibre par coopération, ce qui offre des occasions supplémentaires de faire coïncider la veille sur les menaces avec les meilleures pratiques en matière de sécurité. Toutes les entreprises doivent se préoccuper d'identifier le juste équilibre entre confiance, transparence et confidentialité, car les enjeux sont considérables.

Sur le long terme, il est possible de parvenir à une meilleure cybersécurité pour tous les utilisateurs, de sorte que le plein potentiel de l'économie émergente de l'Internet multidimensionnel (Internet of Everything10) puisse être réalisé. La réalisation de ces objectifs dépendra toutefois de l'efficacité de politiques de confidentialité et de la robustesse de défenses des réseaux qui répartissent le fardeau de la sécurité sur les terminaux et le réseau. À court terme et peut-être plus près de nous se trouve le besoin, pour toute entreprise moderne, d'appliquer les meilleures méthodes et informations disponibles pour l'aider à protéger ses actifs les plus précieux et s'assurer qu'elle ne contribue pas directement à des problèmes de cybersécurité plus larges.

Les entreprises actuelles doivent étudier l'impact potentiel de leurs pratiques de sécurité sur l'écosystème de cybersécurité en général, de plus en plus complexe et interconnecté. L'entreprise qui ne tient pas compte de cet aspect général risque sa réputation, ce qui signifie qu'aucun grand fournisseur de sécurité ne permettra à des utilisateurs d'accéder à son site. Une fois qu'une entreprise est placée sur liste noire, il n'est pas facile d'en être radié et, dans certains cas, le rétablissement n'est jamais complet.

Pour en savoir plus sur les pratiques de Cisco en matière de systèmes fiables (Cisco Trustworthy Systems, visitez la page www.cisco.com/go/trustworthy.

les informations en toute sécurité avec les budgets et le temps limités dont ils disposent. Par exemple, le cloud est devenu un moyen économique et souple de gérer des entrepôts de données toujours plus volumineux, mais il suscite des soucis supplémentaires pour les CISO. Les présidents-directeurs généraux et les conseils d'administration voient le cloud comme une panacée qui devrait permettre d'éliminer des matériels coûteux. Ils veulent profiter des avantages que présente le déchargement de données dans le cloud et attendent des CISO qu'ils exécutent cette vision, en toute sécurité et rapidement.

Faire confiance aux fournisseurs

Comme dans le cas du cloud, les entreprises font appel à des tiers pour leur fournir des solutions spécialisées. L'argument du coût justifie le recours aux tiers. Ces fournisseurs sont toutefois des cibles de grande valeur pour les criminels, qui savent que les défenses d'un tiers peuvent ne pas être aussi solides.

Se rétablir d'atteintes à la sécurité

Toutes les entreprises doivent supposer qu'elles ont été piratées, ou au moins convenir qu'il ne s'agit pas de savoir si elles seront ciblées par une attaque, mais quand. De récents actes de piratages comme Operation Night Dragon, l'atteinte à RSA et l'attaque Shamoon contre une grande société gazière et pétrolière en 2012 sont présents dans les esprits de nombreux CISO. (Voir les travaux de recherche de Cisco sur la prévalence des activités malveillantes dans les réseaux d'entreprise, page 49.)

(suite de la page précédente)

[

]



www.cisco.com/go/trustworthy

https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9003dfoF&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9006d7cj&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2019%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20cybersecurity%20and%20the%20Internet%20of%20Everything%20economy.%0A%0Ahttp%3A//cs.co/9001d7c9


L’expertise en matière de menacesS'appuyant sur le plus grand ensemble d'outils de télémétrie de détection disponible, Cisco et Sourcefire ont analysé et compilé ensemble des informations sur la sécurité concernant l'année écoulée.


21 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Expertise en matière de menaces

Augmentation des signalements de menacesLes vulnérabilités et menaces rapportées par Cisco IntelliShield® ont connu une croissance soutenue en 2013 : en octobre 2013, le total cumulé des alertes de l'année était en hausse de 14 pour cent par rapport à la même période de 2012 (Figure 3).

En octobre 2013, les alertes avaient atteint leur plus haut niveau depuis qu'IntelliShield a commencé à les enregistrer en mai 2000.

Il est également intéressant de signaler l'augmentation substantielle du nombre de nouvelles alertes, par opposition aux mises à jour d'alertes existantes, telles que suivies par IntelliShield (Figure 4). Les fournisseurs de technologie et les chercheurs constatent un nombre croissant de nouvelles vulnérabilités (Figure 5), dont la découverte résulte de l'intérêt accru pour une utilisation d'un cycle de vie de développement hautement sécurisé, ainsi que d'améliorations de la sécurité de leurs propres produits. Le nombre accru de nouvelles vulnérabilités peut également indiquer que les fournisseurs examinent leur code produit et résolvent les vulnérabilités avant que les produits ne soient diffusés et leurs vulnérabilités exploitées.

FIGURE 3

Totaux annuels cumulés des alertes, 2010-2013

0Jan. Déc.Nov.Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév.

1 000

2 000

3 000

4 000

5 000

6 000

7 000

Mois

2013

2012

2011

2010



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9005dfoN&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9004d7cY&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2021%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20Cumulative%20Annual%20Alert%20Totals.%0A%0Ahttp%3A//cs.co/9007d7cW


FIGURE 4

Alertes nouvelles et mises à jour, 2013

Nouvelle alerte

Alerte mise à jour

Mois

224

303

386

212

333

281

387

256

221

32436

629

1

293

391

215

286

278

437

320

517

0

400

200

800

600

1000

211

347

Jan. Nov.Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév.

En portant une attention plus soutenue au développement de logiciels sécurisés, les fournisseurs de solutions auront de meilleures chances d'obtenir la confiance de leurs clients. Non seulement un cycle de vie de développement sécurisé atténue le risque de vulnérabilité, mais il permet aussi aux fournisseurs de détecter tôt dans le processus de développement des défauts potentiels et assure aux acheteurs qu'ils peuvent se fier à ces solutions.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9008dfoA&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9006d7ca&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2022%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20New%20and%20Updated%20Alerts%2C%202013.%0A%0Ahttp%3A//cs.co/9008d7cI


FIGURE 5

Catégories de menaces courantes suivies par Cisco IntelliShield REMARQUE : ces catégories de menace CWE (Common Weakness Enumeration, recensement des faiblesses courantes), telles que définies par la National Vulnerability Database (base de données nationale des vulnérabilités, https://nvd.nist.gov/cwe.cfm), correspondent aux méthodes utilisées par les acteurs malveillants pour attaquer les réseaux.

1

1 5

2

3

4

6

7

8

2

34

5

6

7

8

9

CWE-119 : Erreurs de mémoire tampon

Autres alertes d'Intellishield (activité, problèmes, CRR, AMB)

CWE-399 : Gestion des con�its des ressources

CWE-20 : Validation des entrées

9

CWE : Erreur de conception

CWE-310 : Problèmes de cryptographie

CWE-287 : Problèmes d'authenti�cation

CWE-352 : Falsi�cation de requête inter-site (CSRF, Cross-Site Request Forgery)

CWE-22 : Traversée de parcours

CWE-78 : Injections de commande SE

CWE-89 : Injection SQL

CWE-362 : Conditions de concurrence

CWE-255 : Gestion des informations d'accès

CWE-59 : Suivi de lien

CWE-16 : Con�guration

CWE : Informations insu�santes

CWE : Autre

CWE-189 : Erreurs numériques

CWE-264 : Permissions, privilèges et contrôle d'accès

CWE-200 : Fuite/divulgation d'informations

CWE-79 : Attaque sur éléments dynamiques (XSS)

CWE-94 : Injection de code



https://nvd.nist.gov/cwe.cfm


Le volume de spam est en baisse, mais les spams (pourriels) malveillants continuent à constituer une menaceEn 2013, le volume des spams a connu une tendance à la baisse partout dans le monde. Si le volume global a effectivement baissé, la proportion de pourriels aux intentions malveillantes est toutefois restée constante.

Les spammeurs utilisent la vitesse comme un outil d'abus de confiance des utilisateurs de messagerie électronique, en transmettant des quantités massives de pourriels quand des événements d'actualité ou des tendances abaissent la résistance des destinataires aux escroqueries au pourriel.

Après l'attentat à la bombe du Marathon de Boston, le 15 avril 2013, deux campagnes de spam à grande échelle ont été lancées, l'une le 16 et l'autre le 17 avril, qui étaient destinées à attirer les utilisateurs de messagerie électronique avides d'informations sur l'impact de l'événement. Les chercheurs de Cisco ont commencé à détecter l'enregistrement de centaines de noms de domaine liés à la notion d'attentat à la bombe quelques heures seulement après l'événement.11

Les deux campagnes de spam présentaient dans leur sujet des titres sur de prétendus bulletins d'actualité liés aux attentats, tandis que les messages contenaient des liens supposés amener à des vidéos des explosions ou des informations de médias de bonne réputation. Les liens orientaient les destinataires vers des pages comprenant des liens vers des articles ou des vidéos réels, mais aussi des iframes malveillants destinés à infecter les ordinateurs des visiteurs. À leur apogée,

Les spammeurs tirent avantage du désir des

gens d'obtenir plus d'informations après un

événement majeur.




les pourriels relatifs au Marathon de Boston constituaient 40 pour cent du total des pourriels diffusés dans le monde le 17 avril 2013.

La Figure 6 montre l'une des campagnes de spam du réseau de zombies se faisant passer pour un message de CNN.12 La Figure 7 montre le HTML source d'un pourriel sur l'attentat à la bombe du Marathon de Boston. L'iframe final (dissimulé) renvoie à un site malveillant.13

Vu l'immédiateté des pourriels d'informations de dernière minute, il y a plus de chances pour que les utilisateurs de messagerie électronique croient à la légitimité de ces messages. Les spammeurs font leur miel du désir d'information du public après un événement majeur. Quand les spammeurs donnent aux utilisateurs en ligne ce qu'ils veulent, il est beaucoup plus facile de les amener à agir comme ils le veulent, par exemple à cliquer sur un lien infecté. Il est également bien plus facile de les empêcher de soupçonner une quelconque irrégularité du message.




FIGURE 6

Spam du Marathon de Boston

FIGURE 7

HTML source d'un pourriel sur l'attentat à la bombe du Marathon de Boston

<iframe width="640" height="360"src="https://www.youtube.com/embed/H4Mx5qbgeNo"><iframe>

<iframe width="640" height="360"src="https://www.youtube.com/embed/JVU7rQ6wUcE"><iframe>

<iframe width="640" height="360"src="https://bostonmarathonbombing.html"><iframe>




Le spam en chiffres

Au plan mondial, le volume de spam est en chute, selon des données collectées par Cisco Threat Research Analysis and Communications (TRAC)/SIO (Figure 8), mais les tendances varient d'un pays à l'autre (Figure 9).

FIGURE 8

Volume global de spam, 2013Source : Cisco TRAC/SIO

0Jan. Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév.

20

40

60

80

100

120

140

160

Mois

Mill

iard

s pa

r jou

r

FIGURE 9

Tendances des volumes, 2013Source : Cisco TRAC/SIO


5

10

15

20

25

Mois

Volu

me

en p

ourc

enta

ge

États-Unis

Corée, République de

Chine

Italie

Espagne





http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9005d7cf&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2026%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Volume%20Trends%2C%202013.%0A%0Ahttp%3A//cs.co/9007d7c7


FIGURE 10

Principaux thèmes des messages de spam dans le monde

1.Dépôt bancaire/Avis de paiementAvis de dépôt, de virement, de paiement, de chèque rejeté, d'alerte à la fraude.

2. Achat de produit en ligneCon�rmation de commande de produit, demande de bon de commande, devis, essai.

3. Photo jointe Photos jointes malveillantes.

4. Avis d'expéditionFactures, livraison ou enlèvement, suivi.

5. Rencontres en ligneSites de rencontres en ligne.

6. ImpôtsDocuments �scaux, remboursements, rapports, renseignements sur la dette, déclarations �scales en ligne.

7. FacebookSituation de compte, mises à jour, noti�cations, logiciels de sécurité.

8. Carte ou chèque cadeauAlertes de divers magasins (Apple était le plus populaire).

9. PayPalMise à jour de compte, con�rmation, avis de paiement, litige sur paiement.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9003dfUB&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9001d7YB&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2027%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20Top%20Themes%20for%20Spam%20Messages%20Worldwide.%0A%0Ahttp%3A//cs.co/9002d7Y8


Exploitation de failles sur le Web : Java en têteDe toutes les menaces sur le Web qui sapent la sécurité, les vulnérabilités du langage de programmation Java continuent à constituer la cible la plus fréquemment exploitée par les criminels en ligne, selon des données de Cisco.

Les exploitations des failles de Java dépassent de loin celles qui sont détectées dans des documents Flash ou Adobe PDF, qui constituent aussi des vecteurs populaires pour les activités criminelles (Figure 11).

Des données provenant de Sourcefire, désormais division de Cisco, montrent aussi que les exploitations des failles de Java constituent l'immense majorité (91 pour cent) des indicateurs d'atteinte (IoC, indicators of compromise), suivis par la solution FireAMP de Sourcefire pour l'analyse et la protection avancées afférentes aux programmes malveillants (Figure 12). FireAMP détecte les atteintes en cours d'exécution sur les terminaux, puis enregistre le type de logiciel à l'origine de chaque incident.

FIGURE 11

Attaques malveillantes générées par le biais de PDF, Flash et Java en 2013Source : rapports Cisco Cloud Web Security

Flash

PDF

Mois

Java

0

2 %

4 %

6 %

10 %

8 %

14 %

12 %

16 %

Jan. Nov.Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9005dfUD&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9007d7Yl&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2028%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Malicious%20Attacks%20Generated%20Through%20PDF%2C%20Flash%20and%20Java%202013.%0A%0Ahttp%3A//cs.co/9004d7Ys


Pour des menaces telles que l'exploitation des failles de Java, les principaux problèmes auxquels les praticiens de la sécurité sont confrontés sont la manière dont les programmes malveillants pénètrent leur environnement de réseau et l'endroit sur lequel ils devraient concentrer leurs efforts pour minimiser l'infection. Une action isolée peut paraître inoffensive, mais on peut découvrir l'historique d'un programme malveillant en suivant une chaîne d'événements. L'établissement de chaînes d'événements est la capacité à effectuer une analyse rétrospective de données retraçant le cheminement suivi par les acteurs malveillants pour contourner la sécurité périmétrique et infiltrer le réseau.

En soi, les IoC peuvent démontrer que l'accès à un site Web donné est sûr. À son tour, le lancement de Java peut être sans danger, tout comme le lancement d'un fichier exécutable. Une entreprise est toutefois exposée à un risque si un utilisateur visite un site Web comportant un iframe, qui lance ensuite Java, lequel télécharge un fichier exécutable qui, à son tour, exécute des actions malveillantes.

FIGURE 12

Indicateurs d'atteinte, par typeSource : Sourcefire (solution FireAMP)

3 %Microsoft Excel

1 %Microsoft PowerPoint

3 %Adobe Reader

2 %Microsoft Word

91 %Compromis Java



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9006dfUE&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9009d7Yx&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2029%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Indicators%20of%20Compromise%2C%20by%20Type.%0A%0Ahttp%3A//cs.co/9002d7Y0


L'ubiquité de Java en fait l'un des outils préférés des criminels, ce qui a fait des atteintes de Java de loin l'activité de « chaîne d'événements » la plus malveillante en 2013. Comme l'explique la page « À propos de » du site de Java, 97 pour cent des ordinateurs de bureau dans les entreprises utilisent Java, et 89 pour cent du total des ordinateurs de bureau aux États-Unis.14

Java offre une surface d'attaque trop étendue pour être ignorée par les criminels. Ils ont tendance à élaborer des solutions qui exécutent des exploitations de failles dans un ordre précis ; par exemple, ils commencent par essayer d'accéder à un réseau ou de voler des données en utilisant la vulnérabilité la plus facile ou la plus connue, avant de passer à d'autres méthodes. Dans la plupart des cas, Java constitue l'exploitation de faille privilégiée par les criminels, car elle leur offre le meilleur retour sur investissement.

Atténuer le problème posé par Java

Bien que les exploitations de failles de Java soient courantes et que les vulnérabilités soient difficiles à éliminer, il existe des méthodes pour réduire leur impact :

•Lorsque c'est possible, désactiver Java dans les navigateurs, dans tout le réseau, peut empêcher le lancement de ces exploitations de failles.

•Des outils de télémétrie comme Cisco NetFlow, incorporés à de nombreuses solutions de sécurité, peuvent surveiller le trafic associé à Java et conférer aux professionnels de la sécurité une meilleure compréhension des sources de menaces.

•Une gestion complète des correctifs peut combler de nombreuses lacunes de sécurité.

•Des outils de surveillance et d'analyse des terminaux qui continuent à suivre et à analyser les fichiers après leur entrée sur le réseau peuvent détecter rétrospectivement et arrêter des menaces qui ont été validées à l'entrée mais qui affichent ultérieurement un comportement malveillant.

•Une liste des périphériques potentiellement compromis, classés par ordre de priorité, peut être générée à l'aide des IoC de manière à établir une corrélation entre les différents éléments de veille des programmes malveillants (sans négliger des événements apparemment bénins) et à identifier une infection au premier jour, sans signature d'antivirus existante.

L'installation de la version la plus récente de Java contribuera aussi à éviter les vulnérabilités. Selon la recherche de Cisco TRAC/SIO, 90 pour cent des clients de Cisco utilisent une version de Java 7 Runtime Environment, la version la plus récente du programme. C'est positif du point de vue de la sécurité, puisque cette version est censée offrir une meilleure protection contre les vulnérabilités.




Les recherches effectuées par Cisco TRAC/SIO ont cependant aussi montré que 76 pour cent des entreprises qui utilisent des solutions Cisco utilisent aussi Java 6 Runtime Environment, en plus de Java 7. Java 6 est une version périmée dont le support n'est plus assuré. Les entreprises utilisent souvent les deux versions de Java Runtime Environment parce que différentes applications peuvent s'appuyer sur différentes versions pour exécuter le code Java. Cependant, avec plus des trois quarts des entreprises interrogées par Cisco utilisant une solution en fin de vie dont les vulnérabilités ne recevront jamais de correctif diffusé dans le public, les chances pour les criminels d'exploiter des faiblesses sont énormes.

En 2013, la fréquence des programmes malveillants affectant Java sur Internet a culminé en avril à 14 pour cent de tous les programmes malveillants présents sur le Web. Cette fréquence a atteint son point le plus bas en mai et juin 2013, autour de 6 pour cent et 5 pour cent du total des programmes malveillants rencontrés sur Internet, respectivement (Figure 13)

(En début d'année, Oracle a annoncé qu'il cesserait de mettre à disposition des mises à jour de Java SE 6 sur son site public de téléchargement, bien que les mises à jour de Java SE 6 existantes restent dans les archives de Java sur le réseau Oracle Technology Network.)

Si les professionnels de la sécurité qui disposent d'un temps limité pour combattre les exploitations des failles sur Internet décident de concentrer l'essentiel de leur attention sur Java, ils feront là un bon choix d'affectation de leurs ressources.

FIGURE 13

Rencontres de programmes malveillants affectant Java sur le Web, 2013Source : Cisco TRAC/SIO

Nov.Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév.

Mois

Jan.

7,50

%

6,75

%

9,00

%

14,0

0 %

6,00

%

5,00

%

12,2

5 %

7,50

%

6,25

%

9,50

%

6,50

%

0

2 %

4 %

6 %

10 %

8 %

12 %

14 %




BYOD et mobilité : La maturation des périphériques profite aux cybercriminelsLes cybercriminels et leurs cibles sont confrontés au même défi : ils essaient d'identifier la meilleure façon d'utiliser les tendances BYOD (bring-your-own-device, apportez votre propre appareil) et de mobilité à leur avantage.

Deux éléments semblent aider les criminels à se rapprocher de leurs objectifs. Premièrement, il s'agit de la maturation des plates-formes mobiles. Les experts de la sécurité de Cisco remarquent que plus les téléphones intelligents, tablettes et autres appareils fonctionnent comme les ordinateurs de bureau et portables conventionnels, plus il est facile de concevoir des programmes malveillants pour ceux-ci.

Deuxièmement, l'utilisation croissante d'applications mobiles. Lorsque les utilisateurs téléchargent des applications mobiles, ils installent en fait un client léger sur le terminal, ainsi qu'un code de téléchargement. Autre défi : de nombreux utilisateurs téléchargent régulièrement des applications mobiles sans se préoccuper de la sécurité.

Dans le même temps, les équipes de sécurité se débattent avec le problème « any-to-any » (de chacun vers tous les autres) : comment sécuriser n'importe quel utilisateur, sur n'importe quel périphérique, où qu'il se trouve, quand il accède à n'importe quelle application ou ressource.15 La tendance BYOD ne fait que compliquer ces efforts. Il est difficile de gérer tous ces types d'équipements, surtout avec un budget informatique limité. Dans un environnement BYOD, le CISO doit être particulièrement sûr que la salle de données est étroitement contrôlée.

La mobilité offre de nouvelles possibilités d'atteinte des utilisateurs. Les chercheurs de Cisco ont observé des acteurs utilisant des canaux sans fil pour écouter clandestinement et accéder à des données en cours d'échange sur ces canaux. La mobilité présente aussi un éventail de problèmes de sécurité pour les entreprises, notamment la perte de propriété intellectuelle et d'autres données sensibles en cas de perte ou de vol d'un appareil non sécurisé d'un collaborateur.

De nombreux utilisateurs téléchargent

régulièrement des applications mobiles

sans aucun souci de sécurité.




La mise en place d'un programme formel de gestion des appareils mobiles contribuant à assurer la sécurité d'un appareil avant de l'autoriser à accéder au réseau constitue une solution d'amélioration de la sécurité pour l'entreprise, selon des experts de Cisco. Au minimum, un verrouillage par numéro d'identification personnel (NIP, ou personal identification number, PIN) devrait être requis pour authentifier l'utilisateur ; l'équipe de sécurité devrait pouvoir éteindre ou effacer l'appareil à distance en cas de perte ou de vol de celui-ci.

Tendances en matière de programmes malveillants affectant les appareils mobiles : 2013La recherche qui suit sur les tendances en matière de programmes malveillants affectant les appareils mobiles en 2013 a été réalisée par Cisco TRAC/SIO et par Sourcefire, désormais division de Cisco.

Les programmes malveillants mobiles ciblant des périphériques spécifiques constituent seulement 1,2 pour cent du total des programmes malveillants rencontrés sur Internet en 2013. Bien que ce pourcentage ne soit pas élevé, il mérite d'être signalé, car les programmes malveillants pour périphériques mobiles constituent manifestement un domaine d'exploration émergent et logique pour les développeurs de programmes malveillants.

Selon les chercheurs de Cisco TRAC/SIO, 99 pour cent des programmes malveillants destinés à compromettre des périphériques mobiles qui sont rencontrés ciblent des dispositifs Android. Les chevaux de Troie visant des appareils pouvant utiliser Java Micro Edition (J2ME) occupaient le second rang en 2013, avec 0,84 pour cent du total des programmes malveillants pour périphériques mobiles rencontrés.

Tous les programmes malveillants pour périphériques mobiles ne sont toutefois pas conçus pour cibler des appareils particuliers. De nombreux incidents comprennent phishing (hameçonnage), likejacking (transmission de programme malveillant lorsqu'un utilisateur clique sur le bouton « like » de Facebook) ou d'autres ruses d'ingénierie sociale, ou encore des renvois forcés à d'autres sites que ceux qui étaient attendus. Une analyse des agents d'utilisateurs menée par Cisco TRAC/SIO révèle que les utilisateurs d'Android, présentent la fréquence de contact la plus élevée (71 pour cent) avec toutes les formes de programmes malveillants diffusés par le biais d'Internet, suivis des utilisateurs de l'iPhone d'Apple, qui subissent 14 pour cent du total des rencontres de programmes malveillants sur Internet (Figure 14).

Les chercheurs de Cisco TRAC/SIO ont également rendu compte d'indications d'efforts pour monétiser des atteintes d'Android courant 2013, notamment des lancements de logiciels publicitaires et de logiciels espions liés à des petites et moyennes entreprises (PME).

À 43,8 pour cent, Andr/Qdplugin-A était le programme malveillant le plus souvent rencontré, selon les recherches de Cisco TRAC/SIO. En général, ces incidents passaient par des copies reconditionnées d'applications légitimes distribuées par des places de marché non officielles (Figure 15).

Les programmes malveillants mobiles qui

ciblent des périphériques précis constituent

seulement 1,2 pour cent du total des programmes malveillants rencontrés

sur le Web en 2013.




FIGURE 14

Programmes malveillants rencontrés sur Internet, par périphérique mobileSource : Rapports Cisco Cloud Web Security

Andr

oid

iPho

ne

iPad

Blac

kBer

ry

Noki

a

Sym

bian

iPod

Huaw

ei

Win

dow

sPh

one

Mot

orol

a

Play

stat

ion

Nook

Zune

WP

Kind

le

Win

dow

s CE

0

40 %

20 %

80 %

60 %

100 %

FIGURE 15

10 premières incidences de programmes malveillants pour périphériques mobiles, 2013 Source : rapports Cisco Cloud Web Security

Andr

/Qdp

lugi

n-A

Andr

/New

year

L-B

Andr

/Sm

sSpy

-J

Andr

/SM

SSen

d-B

Andr

/Spy

-AAH

Troj

an.A

ndro

idO

S.Pl

angt

on.a

Andr

/Dro

idRt

-A

Andr

/Gm

aste

r-E

Andr

oidO

S.W

oobo

o.a

Troj

an-S

MS.

Andr

oidO

S.Ag

ent.a

o

Andr

/Dro

idRt

-C

0

20 %

10 %

40 %

30 %

50 %



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9008dfUG&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9002d7l6&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2034%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Web%20Malware%20Encounters%20by%20Mobile%20Device.%0A%0Ahttp%3A//cs.co/9006d7lE


FIGURE 16

Principales familles de programmes malveillants pour Android observées en 2013REMARQUE : SMSSend représente 98 pour cent de tous les programmes malveillants pour Android ; les deux pour cent restants sont présentés proportionnellement. Source : Sourcefire

16 %

14 %11 % 10 % 7 %

7 %

6 % 4 % 4 %4 %

4 %

Andr.T

rojan

DroidK

ungF

u

Andr

.Tro

jan.

Opfa

ke

Andr

.Tro

jan.

Anse

rver

Andr

.Exp

loit.

Gin

gerb

reak

Andr

.Exp

loit.

Ratc

BC.E

xplo

it.An

drAn

dr.E

xplo

it.Ex

ploi

dAn

dr.T

roja

n.St

els

Andr

.Tro

jan.

Gein

imi

Adnr

.Troj

an.D

roid

Drea

mLig

ht

(>1

%) A

ndr.T

roja

n.No

tCom

patib

le

(>1

%) A

ndr.T

roja

n.Ro

gueS

PPus

h

(>1

%) A

ndr.T

roja

n.TG

Load

er

(>1

%) A

ndr.T

roja

n.Ac

kpos

ts

(>1

%) A

ndr.T

roja

n.O

Bad

(>1

%) A

ndr.T

roja

n.C

huli

(>1

%) A

ndr.T

roja

n.G

inge

rMas

ter

(>1

%) A

ndr.T

roja

n.Ba

dnew

s

(>1

%) A

ndr.T

roja

n.Fa

keTi

mer

(1 %

) And

r.Tro

jan.

Gon

esix

ty(1

%) A

ndr.T

roja

n.Km

in(1

%) A

ndr.T

roja

n.Zs

one

(1 %

) And

r.Tro

jan.

Plan

kton

Andr

.Troj

an.A

drd

Andr.T

rojan

.Gold

drea

m

Andr.T

rojan

.And

rora

t

(2 %) A

ndr.T

rojan

.Pjap

ps

(2 %) A

ndr.T

rojan

.YZHC3 %

3 %3 %

98 %Andr.SMSSend



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9000dfUy&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9003d7lz&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2035%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Top%20Android%20Malware%20Families%20Observed%20in%202013.%0A%0Ahttp%3A//cs.co/9005d7lX


Attaques ciblées : le défi du délogement de visiteurs persistants et « envahissants »Il y a de fortes chances que des attaques ciblées aient déjà infiltré vos réseaux.

Une fois qu'elles prennent pied dans un réseau, elles ont tendance à y rester, à dérober furtivement des données ou à utiliser des ressources de réseau pour « pivoter » avant d'attaquer d'autres entités (pour plus d'informations sur le pivoting, voir page 18). Les dommages causés dépassent le vol de données ou une défaillance dans l'entreprise : la confiance entre partenaires et clients peut s'évaporer si ces attaques ne sont pas éliminées des réseaux dans les meilleurs délais.

Les attaques ciblées menacent la propriété intellectuelle, les données des clients et des informations sensibles du gouvernement. Leurs créateurs utilisent des outils sophistiqués qui contournent l'infrastructure de sécurité de l'entreprise. Les criminels se donnent beaucoup de mal pour s'assurer que ces infractions ne sont pas détectées et appliquent des méthodes qui rendent les « indicateurs d'atteinte », ou IoC, pratiquement imperceptibles. Leur approche méthodique pour accéder aux réseaux et exécuter leur mission comprend une « chaîne d'attaque », c'est-à-dire la chaîne des événements qui mènent à l'attaque et au déroulement de celle-ci.

Une fois que ces attaques ciblées trouvent un endroit où se cacher sur le réseau, elles exécutent leurs tâches efficacement et les réalisent généralement sans se faire remarquer.

Les criminels se donnent beaucoup

de peine pour s'assurer que leurs atteintes ne sont pas détectées.




FIGURE 17

La chaîne d'attaque Pour comprendre l'éventail actuel des menaces et défendre efficacement le réseau, les professionnels de la sécurité informatique doivent réfléchir comme des agresseurs. Les entreprises qui s'attachent à mieux comprendre l'approche méthodique appliquée par les acteurs malveillants pour exécuter leur mission peuvent identifier des moyens de renforcer leurs défenses. La chaîne d'attaque, version simplifiée de la « chaîne d'abattage virtuel », décrit les événements qui précèdent et accompagnent les différentes phases d'une attaque.

1. ÉtudeObtenir une image complète d'un environnement : réseau, terminal, mobile et virtuel, y compris les technologies déployées pour sécuriser l'environnement.

2. ÉcrireCréer un programme malveillant ciblé, conscient du contexte.

3. TesterS'assurer que le programme malveillant fonctionne comme prévu, en particulier pour qu'il puisse déjouer les outils de sécurité en place.

4. ExécuterNaviguer sur le réseau étendu, en étant conscient de l'environnement, en évitant la détection et en se déplaçant latéralement jusqu'à atteindre la cible.

5. Accomplir la missionCollecter des données, créer une perturbation ou causer de la destruction.




Instantané des programmes malveillants : tendances observées en 2013Les experts de la sécurité de Cisco effectuent en permanence des recherches et analyses du trafic de programmes malveillants et autres menaces découvertes, ce qui peut fournir des informations sur d'éventuels comportements criminels à venir et contribuer à détecter les menaces.FIGURE 18.

Principales catégories de programmes malveillants Ce graphique présente les principales catégories de programmes malveillants. Les chevaux de Troie sont les plus courants, suivis des logiciels publicitaires. Source : Sourcefire (solutions ClamAV et FireAMP)

Che

val d

e Tr

oie

Logi

ciel

pub

licita

ire Ver

Viru

s

Télé

char

geur

Di�u

seur

(0%

)

64 % 20 % 8 % 4 % 4 %

FIGURE 19.

Principales familles de programmes malveillants pour Windows Ce graphique présente les principales familles de programmes malveillants pour Windows. La plus nombreuse, Trojan.Onlinegames, se compose principalement de programmes de vol de mots de passe. Elle est détectée par la solution antivirus ClamAV de Sourcefire. Source : Sourcefire (solution ClamAV)

Onl

ineg

ames

Mul

tiplu

g(L

ogic

iel

pub

licita

ire)

Syfr

o

Meg

asea

rch

Zeus

bot

Gam

evan

ce

Blac

khol

e

Hupi

gon

Spye

ye (>

1%)

41 % 14 % 11 % 10 % 10 % 7 % 4 % 3 %



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9001dfUJ&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9004d7lg&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2038%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Top%20Malware%20Categories.%0A%0Ahttp%3A//cs.co/9005d7l9

https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9002dfUK&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9009d7ll&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2038%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Top%20Windows%20Malware%20Families.%0A%0Ahttp%3A//cs.co/9000d7lm


FIGURE 20.

Les dix premières catégories d'hôtes de programmes malveillants sur Internet, 2013 Ce chiffre montre les hôtes les plus fréquents de programmes malveillants, selon les recherches menées par Cisco TRAC/SIO. Source : rapports Cisco Cloud Web Security


5 %

10 %

15 %

20 %

25 %

30 %

35 %

40 %

Mois

Annonces

Activité et secteur

Communautés en ligne

Ordinateurs et Internet

Infrastructure

ActualitésAchats

Moteurs de recherche et portails

Hébergement web

Non classé

Autre

Nov.

45 %

FIGURE 21.

Catégories de programmes malveillants, en pourcentage du total, 2013Source : Cisco TRAC/SIO

Che

vaux

de

Troi

e p

olyv

alen

ts

iFra

mes

et e

xplo

itatio

ns d

e fa

illes

Che

vaux

de

Troi

e v

oleu

rs d

e do

nnée

s

Télé

char

geur

& di

�use

ur

Faux

logi

ciel

s de

pro

tect

ion

(Ran

som

war

e)et

pro

gram

mes

bas

és s

ur la

peu

r (Sc

arew

are)

Vers

et v

irus

(1 %

)SM

S, h

arpo

nnag

eet

like

jack

ing

(1 %

)C

onst

ruct

eurs

et o

utils

voy

ous

(hac

ktoo

ls)

27 % 23 % 22 % 17 % 5 % 3 %



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9000dfUr&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9001d7lW&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2039%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Top%20Ten%20Categories%20of%20Web%20Malware%20Hosts%2C%202013.%0A%0Ahttp%3A//cs.co/9006d7mM

https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9001dfUT&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9005d7mz&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2039%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Malware%20Categories%2C%20by%20Percentage%20of%20Total%20Encounters%2C%202013.%0A%0Ahttp%3A//cs.co/9002d7my


FIGURE 22.

Hôtes et adresses IP de programmes malveillants spécifiques, 2013 Source : rapports Cisco Cloud Web Security

Nov.Oct.Sep.AoûtJuil.JuinMaiAvr.MarsFév.

Hôte unique

Mois

IP unique

Jan.0

10 000

30 000

20 000

50 000

40 000

60 000

Il ressort des travaux de recherche effectués par Cisco TRAC/SIO en 2013 que les chevaux de Troie polyvalents constituaient les programmes malveillants transmis par Internet les plus fréquemment rencontrés, avec 27 pour cent du total. Les scripts malveillants, tels que les exploitations de failles et les iframes, venaient ensuite, à 23 pour cent du total. Les chevaux de Troie voleurs de données, tels que les voleurs de mots de passe et les portes dérobées, constituaient 22 pour cent du total des programmes malveillants transmis par Internet rencontrés, les chevaux de Troie téléchargeurs et programmes malveillants de diffusion de chevaux de Troie prenant la quatrième place, à 17 pour cent du total (voir Figure 21).

La baisse régulière des hôtes et adresses IP de programmes malveillants uniques (moins 30 pour cent entre janvier et septembre 2013) suggère que les programmes malveillants sont concentrés sur un moins grand nombre d'hôtes et d'adresses IP (Figure 22). (Remarque : une adresse IP peut servir des sites pour plusieurs domaines). Comme le nombre d'hôtes baisse, même si celui des programmes malveillants reste stable, la valeur et la réputation de ces hôtes deviennent plus importantes, puisque de bons hôtes aident les criminels à accomplir leurs objectifs.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9002dfUp&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9009d7mP&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2040%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Unique%20Malware%20Hosts%20and%20IP%20Addresses%2C%202013.%0A%0Ahttp%3A//cs.co/9001d7mR


Principaux objectifs : marchés verticauxLes sociétés de marchés verticaux hautement rentables, comme le secteur pharmaceutique et celui des produits chimiques ou encore celui de la fabrication de produits électroniques, ont une fréquence élevée de programmes malveillants sur Internet, selon la recherche effectuée par Cisco TRAC/SIO.

La fréquence augmente ou diminue parallèlement à la valeur des biens et services du marché vertical concerné.

Les chercheurs de Cisco TRAC/SIO ont observé une croissance remarquable de la fréquence des programmes malveillants dans les secteurs agricole et minier, qui étaient auparavant à risque relativement faible. Ils attribuent l'augmentation des cas de programmes malveillants dans ce secteur au fait que les cybercriminels suivent les tendances telles que la baisse des ressources de métaux précieux et les perturbations de la production alimentaire due à la météorologie.

La fréquence des programmes malveillants dans le secteur électronique continue aussi à augmenter. Les experts de la sécurité de Cisco signalent que les programmes malveillants qui ciblent ce marché vertical sont généralement conçus pour aider les acteurs à avoir accès à des éléments de propriété intellectuelle, qu'ils utilisent pour obtenir un avantage sur la concurrence ou pour les vendre au plus offrant.

Pour déterminer la fréquence de rencontre de programmes malveillants propres à un secteur, les chercheurs de Cisco TRAC/SIO comparent le taux de fréquence moyen pour toutes les entreprises qui passent par le service Cisco Cloud Web Security au taux de fréquence médian pour toutes les sociétés d'un secteur donné qui passent par le service. Une fréquence supérieure à 100 pour cent pour un secteur

Les « points d'eau » ne sont pas des oasis pour les entreprises cibléesL'un des moyens par lesquels les acteurs malveillants essaient de transmettre les programmes malveillants aux entreprises de certains marchés verticaux précis passe par le recours à des attaques de « point d'eau ». Tels de grands prédateurs observant leur proie, les cybercriminels qui cherchent à cibler un groupe précis (par exemple les personnes qui travaillent dans l'aéronautique) étudient les sites fréquentés par ce groupe, infectent un ou plusieurs de ces sites avec des programmes malveillants, puis attendent en espérant qu'au moins un utilisateur du groupe cible visitera ce site et sera affecté.

Une attaque de point d'eau est essentiellement une exploitation de la confiance, car elle utilise des sites légitimes. C'est aussi une forme de harponnage. Cependant, alors que le harponnage cible certains individus, les points d'eau sont destinés à affecter des groupes de personnes ayant des intérêts communs. Les attaques de points d'eau n'opèrent aucune discrimination parmi leurs cibles : quiconque visite un site infecté est exposé.

Fin avril, une attaque de point d'eau a été lancée à partir de pages précises hébergeant un contenu lié à l'industrie nucléaire du site du Ministère du Travail des États-Unis.16 À partir de début mai 2013, les chercheurs de Cisco TRAC/SIO ont observé une autre attaque de point d'eau émanant de plusieurs

Suite page suivante




autres sites liés aux secteurs de l'énergie et pétrolier. Des similitudes, notamment la manière précise dont était élaborée l'exploitation de failles utilisée dans les deux attaques, ont donné à penser que les deux attaques pouvaient être liées. Les recherches de Cisco TRAC/SIO ont également indiqué qu'un grand nombre des sites utilisaient le même concepteur de site et le même fournisseur d'hébergement. Cela pouvait impliquer que l'atteinte initiale était due à des codes d'accès hameçonnés ou volés à ce fournisseur.17

La protection des utilisateurs contre ces attaques implique de maintenir à jour les correctifs des machines et des navigateurs Web à tout moment, afin de minimiser le nombre de vulnérabilités qui peuvent être exploitées par un agresseur. Il est également essentiel de veiller à ce que le trafic sur Internet soit filtré et que les programmes malveillants soient recherchés avant leur transmission au navigateur de l'utilisateur.


témoigne d'un risque supérieur à la normale de rencontre de programmes malveillants transmis sur Internet, tandis qu'un taux inférieur à 100 pour cent indique un risque moindre. Par exemple, une société qui présente une fréquence de 170 pour cent est exposée à 70 % de risques de plus que la valeur médiane. À l'inverse, une société dont la fréquence est de 70 pour cent a 30 pour cent de risques de moins que la médiane (Figure 23).

FIGURE 23

Risque sectoriel et rencontres de programmes malveillants sur Internet, 2013 Source : rapports Cisco Cloud Web Security

Comptabilité

Agriculture et mines

Automobile

Aviation

Banque et nance

Organismes caritatifs et ONG

Clubs et organisations

Enseignement

Produits électroniques

Énergie, pétrole et gaz

Ingénierie et construction

Loisirs

Nourriture et boissons

Services publics

Santé

Chau age, plomberie et climatisation

Informatique et télécommunications

Industriel

Assurance

Juridique

Fabrication

Presse et édition

Pharmacie et chimie

Services aux entreprises

Immobilier et gestion foncière

Vente au détail et vente en gros

Transport et expédition

Voyages et loisirs

Services publics

0 100 % 200 % 300 % 400 % 500 % 600 % 700 %



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9004dfUn&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9006d7mn&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2042%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20Industry%20Risk%20and%20Web%20Malware%20Encounters%2C%202013.%0A%0Ahttp%3A//cs.co/9006d7mq


Des fractures dans un écosystème fragile Les cybercriminels apprennent que la mobilisation de la puissance de l'infrastructure d'Internet présente beaucoup plus d'avantages que le simple accès à des ordinateurs individuels.

La dernière nouveauté des exploitations malveillantes des failles consiste à accéder à des serveurs d'hébergement Web, des serveurs de noms et des centres de données dans le but de tirer avantage de l'immense puissance de traitement et de la bande passante qu'ils fournissent. Par cette approche, les exploitations de failles peuvent atteindre un nombre d'utilisateurs d'ordinateurs sans méfiance bien plus grand, et avoir un impact nettement supérieur sur les entreprises ciblées, que l'objectif soit d'énoncer une prise de position politique, de saper un adversaire ou de générer des revenus.

FIGURE 24.

Une stratégie d'infection à haute efficacité

Serveur hôte compromis

Site Web compromis

Site Web compromis

Site Web compromis

Site Web compromis

Site Web compromis



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9005dfUX&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9002d7ma&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2043%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20High-Efficiency%20Infection%20Strategy.%0A%0Ahttp%3A//cs.co/9006d7m0


Cette tendance de ciblage de l'infrastructure d'Internet signifie essentiellement que l'on ne peut pas faire confiance aux fondements d'Internet eux-mêmes. Les méthodes utilisées pour accéder à la racine des serveurs hôtes sont variées et comprennent des tactiques telles que des chevaux de Troie sur la gestion des postes de travail qui volent des codes d'accès aux serveurs, des vulnérabilités des outils de gestion de tiers utilisés sur les serveurs et des tentatives d'accès en force (voir page 54). Des vulnérabilités inconnues du logiciel de serveur lui-même peuvent aussi offrir des voies d'accès.

Un serveur d'hébergement compromis peut infecter des milliers de sites et de propriétaires de sites dans le monde (Figure 24).

Les sites hébergés sur des serveurs compromis agissent à la fois comme réachemineurs (intermédiaires dans la chaîne d'infection) et dépositaires du programme malveillant. Au lieu de nombreux sites compromis qui chargeraient des programmes malveillants à partir d'un faible nombre de domaines malveillants (une relation de beaucoup à peu), la relation est désormais entre un grand nombre d'acteurs et un autre grand groupe d'acteurs, ce qui complique les efforts d'endiguement.

Les serveurs de noms de domaine sont des cibles de choix de ce nouveau genre d'attaques, dont les méthodes exactes sont encore en cours d'investigation. Tout semble indiquer qu'outre des sites individuels et des serveurs d'hébergement, des serveurs de noms de certains fournisseurs d'hébergement sont également compromis. Les chercheurs de Cisco en matière de sécurité indiquent que cette tendance à cibler l'infrastructure d'Internet modifie le paysage des menaces, car elle donne aux cybercriminels le contrôle d'une part non négligeable du fondement même d'Internet.

« Le cybercrime est devenu si lucratif et si fortement banalisé qu'il a besoin d'une infrastructure puissante pour se maintenir à flot », affirme Gavin Reid, directeur de l'intelligence en matière de menaces de Cisco. « En compromettant les serveurs d'hébergement et les centres de données, les agresseurs ont non seulement accès à d'énormes volumes de bande passante, mais bénéficient aussi d'une disponibilité permanente de ces ressources. »

« Le cybercrime est devenu si lucratif et si fortement banalisé qu'il a besoin d'une infrastructure puissante pour se maintenir à flot ».Gavin Reid, directeur de l'intelligence en matière de menaces pour Cisco

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9006dfUk&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9009d7mN&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2044%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20cybercrime%20and%20its%20lucrative%20infrastructure.%0A%0Ahttp%3A//cs.co/9006d7W6


Relier les points : DarkLeech et Linux/CDorked

La campagne d'attaque par DarkLeech signalée par Cisco en 201318 met en relief la manière dont l'atteinte de serveurs d'hébergement peut servir de tremplin pour une campagne plus massive. On estime que les attaques par DarkLeech ont compromis, en un bref intervalle, au moins 20 00019 sites légitimes dans le monde, qui utilisent le logiciel de serveur HTTP Apache. Les sites ont été infectés par une porte dérobée SSHD (Secure Shell daemon) qui permettait à des agresseurs à distance de charger et configurer des modules Apache malveillants. Les agresseurs ont alors été en mesure d'injecter de manière dynamique des iframes (des éléments HTML) en temps réel sur des sites hébergés, qui transmettaient des codes d'exploitation des failles et d'autres contenus malveillants par le moyen du kit d'exploitation Blackhole.

Comme les injections d'iframe DarkLeech ne se produisent qu'au moment de la visite d'un site, les signes d'infections peuvent être difficiles à discerner. En outre, pour éviter la détection de l'atteinte, les criminels utilisent un éventail élaboré de critères conditionnels ; par exemple, ils n'injectent l'iframe que si l'adresse IP du visiteur correspond à celle du propriétaire du site

FIGURE 25.

Atteintes de serveurs par DarkLeech Server, par pays, 2013Source : Cisco TRAC/SIO

58 % États-Unis

2 % Italie

,5 % Turquie

,5 % Chypre

1 % Suisse

,5 % Autres

2 % Espagne

1 % Australie

1 % Japon

,5 % Malaisie

1 % Lituanie

,5 % Danemark

1 % Pays-Bas

9 % Allemagne 1 % Belgique

2 % Singapour

2 % Thaïlande

3 % Canada

10 % Royaume-Uni

2 % France

,5 % Irlande



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9009dfUb&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9000d7WE&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2045%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20DarkLeech%20Server%20Compromises%20by%20Country%2C%202013.%0A%0Ahttp%3A//cs.co/9003d7WH


FIGURE 26.

Réactions des serveurs compromis par DarkLeechSource : Cisco TRAC/SIO

0,5 % Apache/CentOS

43 % Apache/2.2.3 CentOS

39 % Apache-unspeci�ed

8 % Apache/2.2.3 RedHat

7 % Apache/2.2.22

2 % Apache/2.2.8

ou du fournisseur d'hébergement, et n'injectent l'iframe qu'une fois en 24 heures pour les visiteurs individuels.

L'investigation Cisco TRAC/SIO a révélé que les atteintes DarkLeech couvraient toute la planète, les pays comportant le plus grand nombre de fournisseurs d'hébergement présentant naturellement le plus fort taux d'infection.

Les chercheurs de Cisco SIO/TRAC ont interrogé des milliers de serveurs compromis pour évaluer la répartition des versions de logiciels de serveur affectées.

En avril 2013, une autre porte dérobée malveillante qui avait infecté des centaines de serveurs utilisant le logiciel de serveur HTTP Apache a été détectée. Linux/CDorked20 remplaçait le chiffre binaire HTTPD sur les versions d'Apache installées avec cPanel. Des portes dérobées similaires, ciblant Nginx et Lighttpd, ont également été découvertes. Tout aussi sélectif que DarkLeech dans ses méthodes d'attaque, CDorked utilise aussi des critères conditionnels pour injecter dynamiquement des iframes sur des sites hébergés par le serveur affecté. Le visiteur




qui navigue sur un site affecté reçoit un contenu malveillant d'un autre site malveillant, où une boîte à outils de logiciels criminels tente de compromettre encore plus avant l'ordinateur de l'utilisateur.21

Linux/CDorked présente une caractéristique unique : il suit des cycles de 24 heures en moyenne dans les domaines de sites Internet. Il est rare que des sites compromis soient utilisés plus longtemps. Ainsi, même si un domaine affecté par un programme malveillant est signalé, il a déjà été abandonné par les agresseurs. En outre, avec Linux/CDorked, les fournisseurs d'hébergement changent fréquemment (toutes les deux semaines environ), et passent d'un hôte compromis à un autre par cycles pour éviter d'être détectés. Les serveurs de nom compromis chez ces mêmes fournisseurs d'hébergement permettent aux acteurs malveillants de passer d'un hôte à un autre sans perdre le contrôle de domaines pendant la transition. Une fois qu'un nouvel hôte est parasité, les agresseurs entament un cycle de nouveaux domaines, utilisant souvent des noms de domaine évoquant le typosquattage22 pour tenter de paraître légitimes à des observateurs peu attentifs.

L'analyse des profils de trafic menée par Cisco TRAC/SIO sur CDorked suggère fortement un lien avec DarkLeech. L'URL référente spécialement encodée utilisée par CDorked dénote expressément un trafic en provenance de DarkLeech. Ce n'est toutefois pas l'évolution la plus intéressante des programmes malveillants : tant CDorked que DarkLeech semblent s'inscrire dans une stratégie nettement plus importante et plus complexe.

« Le degré de sophistication de ces atteintes suggère que les cybercriminels ont acquis un contrôle substantiel de milliers de sites et de multiples serveurs d'hébergement, dont des serveurs de noms employés par ces hôtes », indique Gavin Reid, directeur de l'intelligence en matière de menaces de Cisco. « Avec la récente avalanche de tentatives d'accès en force ciblant des sites individuels, il semble que nous assistions à un retournement de situation, l'infrastructure d'Internet étant désormais utilisée pour créer ce qu'on ne peut décrire que comme un énorme et très puissant réseau de zombies (botnet). Cet überbot peut être utilisé pour envoyer des pourriels, transmettre des programmes malveillants et lancer des attaques DDoS à une échelle jamais vue auparavant. »

CDorked et DarkLeech semblent s'inscrire dans une stratégie beaucoup

plus étendue et plus complexe.




Trafic malveillant, souvent signe d'attaques ciblées, détecté dans tous les réseaux d'entreprisesSelon un examen mené par Cisco sur les tendances en matière d'expertise des menaces, on observe un trafic malveillant sur 100 % des réseaux d'entreprises. Cela signifie qu'il existe des preuves de pénétration de ces réseaux par des criminels sophistiqués ou d'autres acteurs, qui peuvent opérer sans être détectés pendant de longues périodes.

Toutes les entreprises doivent supposer qu'elles ont été piratées ou au moins convenir que la question n'est pas de savoir si elles vont être ciblées par une attaque, mais quand, et pour combien de temps.

Dans le cadre d'un récent projet examinant les recherches de DNS (Domain Name Service) provenant de l'intérieur de réseaux d'entreprises, les experts en matière de menaces de Cisco ont découvert que dans tous les cas, les entreprises présentaient des indications d'utilisation abusive ou d'atteinte de leurs réseaux (Figure 27). Par exemple, 100 pour cent des réseaux d'entreprises analysés par Cisco présentaient un trafic à destination de sites hébergeant des programmes malveillants, tandis que 92 pour cent présentaient un trafic à destination de pages Web sans contenu, qui abritent généralement des activités malveillantes. Quatre-vingt-seize pour cent des réseaux examinés présentaient un trafic à destination de serveurs piratés.

Cisco a également détecté un trafic à destination de sites Web de l'armée ou du gouvernement au sein d'entreprises qui n'ont normalement de relations d'affaires ni avec l'une, ni avec l'autre, ainsi qu'à destination de sites liés à des régions à haut risque, comme des pays placés sous embargo commercial par les États-Unis. Cisco a observé que de tels sites pouvaient être utilisés en raison de la réputation généralement excellente dont jouissent les entreprises publiques ou gouvernementales. La présence de trafic à destination de tels sites n'est pas nécessairement un signe sûr d'atteinte, mais pour des entreprises qui n'ont habituellement pas de relations d'affaires avec le gouvernement ou l'armée, ce trafic peut indiquer que les réseaux sont compromis pour que des criminels puissent les utiliser pour accéder à des sites et réseaux du gouvernement ou militaires.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9002dfUe&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9005d7WJ&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2048%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20Cisco%27s%20findings%20on%20misused%20and%20compromised%20networks.%0A%0Ahttp%3A//cs.co/9000d7WO


Malgré leurs efforts pour maintenir leurs réseaux exempts de menaces malveillantes, toutes les entreprises examinées par Cisco en 2013 présentaient des indications de trafic douteux. Le trafic identifié par les interrogations de DNS peut fournir des IoC solides et mérite plus ample investigation par les entreprises qui veulent arrêter ces acteurs difficiles à détecter dans leurs réseaux. Il s'agit d'une méthode pour augmenter la visibilité des mouvements criminels généralement très difficiles à localiser.

FIGURE 27.

L'omniprésence du trafic malveillant

100 %

100 %

96 %

92 %

88 %

79 %

71 %

50 %

Programme malveillant à menace élevée

Connexions vers des domaines connus comme étant des sites malveillants ou comme des vecteurs de menace.

Gouvernement et militaire Tra�c douteux et excessif vers des destinations généralement pas contactées par le public.

Infrastructure piratée Connexions vers une infrastructure connue pour être piratée ou vers des sites compromis.

Sites sans contenuConnexions vers des sites vacants auxquels peut être associé un code destiné à injecter des programmes malveillants dans les systèmes.

FTP suspect Connexions inattendues vers des sites FTP irréguliers.

VPN suspect Connexions depuis l'intérieur d'une entreprise vers des sites VPN douteux.

Éducation par le biais de menaces

Connexions à des universités dans des lieux douteux, servant potentiellement de pivot pour d'autres types de programmes malveillants.

Pornographie Volume très élevé de tentatives de connexion à des sites de pornographie connus.



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9003dfU5&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9003d7WR&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2049%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20The%20Pervasiveness%20of%20Malicious%20Traffic.%0A%0Ahttp%3A//cs.co/9006d7Wp


ARTICLE SPÉCIAL DE CISCO SECURITY RESEARCH :

Nouvelles tendances du Bitsquatting et nouveaux moyens de stopper les attaquesLe Cybersquattage, c.-à-d. la pratique consistant à enregistrer des noms de domaine identiques ou présentant une similitude à même d'induire une confusion avec une marque distinctive, est depuis longtemps un outil utilisé par les criminels en ligne. Récemment, le « bitsquatting », c'est-à-dire l'enregistrement de noms de domaines qui ne présentent qu'un chiffre binaire de différence avec le domaine d'origine, est devenu un autre moyen de réorienter le trafic sur Internet vers des sites qui hébergent des programmes malveillants ou des escroqueries.

Le bitsquatting est une forme de cybersquattage qui cible des erreurs d'octets dans la mémoire de l'ordinateur. Une erreur de mémoire se produit chaque fois qu'un ou plusieurs octets lus par la mémoire ont changé d'état par rapport à ce qui était écrit précédemment. Ces erreurs de mémoire peuvent survenir en raison de nombreux facteurs, dont des rayons cosmiques (des particules chargées en énergie qui frappent la Terre à une fréquence atteignant 10 000 par mètre carré et par seconde), l'utilisation d'un appareil en dehors de ses paramètres environnementaux recommandés, des défauts de fabrication et même des explosions nucléaires de faible intensité.

En modifiant un seul octet, un domaine comme « twitter.com » peut devenir le domaine bitsquat « twitte2.com ». Un agresseur peut simplement enregistrer un domaine bitsquat, attendre qu'une erreur de mémoire se produise, puis intercepter le trafic sur Internet.

Les chercheurs en matière de sécurité estiment que les attaques de bitsquatting ont plus de chances de viser des noms de domaines fréquemment résolus, puisque ceux-ci ont de meilleures probabilités d'apparaître dans la mémoire lorsque des erreurs d'octets se produisent. Des recherches récentes menées par Cisco prévoient toutefois que des domaines auparavant non considérés comme suffisamment « populaires » pour être attaqués produiront en fait des volumes utiles de trafic de bitsquat. Cela s'explique par le fait que la quantité de mémoire par appareil et le nombre d'appareils connectés à Internet augmentent tous les deux ; selon des estimations de Cisco, on comptera 37 milliards d'« objets intelligents » connectés à Internet en 2020.23

Vecteurs d'attaque par bitsquatting

Cisco TRAC/SIO a identifié de nouveaux vecteurs d'attaque par bitsquatting, à savoir :

• Bitsquatting du caractère de délimitation de sous-domaine : d'après la syntaxe acceptée pour les étiquettes de noms de domaine, les seuls caractères valides dans un nom de domaine sont A-Z, a-z, 0-9 et le tiret. Toutefois, lors de la recherche de domaines bitsquat, le fait de limiter la recherche à ces caractères amènera à négliger un autre caractère important et également valide des noms de domaine : le point. Une nouvelle technique de bitsquatting repose sur les erreurs d'octet qui entraînent la modification de la lettre « n » (chiffre binaire 01101110) en un point « . » (chiffre binaire 00101110) et inversement.

• Caractère de délimitation de sous-domaine dans lequel le « n » est transformé en « . » : dans une variante de la technique précitée, si un nom de domaine de second niveau contient la lettre « n » et qu'il y a au moins deux caractères après celle-ci, on est en présence d'un bitsquat potentiel. Par exemple, « windowsupdate.com » pourrait devenir « dowsupdate.com ».

• Bitsquats de caractère de délimitation d'URL : les noms de domaines sont souvent inclus dans une URL. Dans une URL ordinaire, les caractères de barre oblique tels que « / » jouent le rôle de caractère de délimitation et séparent le nom du site de celui de l'hôte dans le cheminement d'URL. Le caractère de barre oblique (binaire 00101111) peut, par la modification d'un seul octet, devenir a lettre « o » (binaire 01101111), et inversement.

Suite page suivante




Empêcher les attaques de bitsquatting : créer un RPZ Bitsquat

Les deux techniques d'atténuation couramment utilisées pour empêcher le bitsquatting ont leur place dans l'arsenal sécuritaire, bien qu'aucune ne soit optimale :

• Utiliser la mémoire de correction d'erreur (ECC) : toute la base d'appareils installés devrait être mise à niveau simultanément dans le monde entier pour que cette solution soit efficace.

• Enregistrer le domaine bitsquat pour qu'aucun tiers ne puisse l'enregistrer : ce n'est pas toujours possible, car beaucoup de domaines bitsquat populaires ont déjà été enregistrés. Selon la longueur du nom de domaine, cela peut également s'avérer onéreux.

La bonne nouvelle est que ces techniques d'atténuation ne sont pas les seules qu'un professionnel de la sécurité peut déployer pour protéger les utilisateurs de réorientations accidentelles du trafic sur Internet. Si elles sont suffisamment adoptées, les nouvelles méthodes d'atténuation pourraient éliminer presque complètement le problème du bitsquatting.

Par exemple, des zones de politique de réaction (response policy zones, RPZ) constituent une option de configuration depuis la version 9.8.1 de BIND et il existe des correctifs pour les versions antérieures de BIND. (BIND est un logiciel de DNS Internet largement utilisé). Les RPZ sont des fichiers de zone locale qui permettent au résolveur de DNS de répondre à des requêtes DNS précises en disant que le nom de domaine n'existe pas (NXDOMAIN) et redirigent l'utilisateur vers un « jardin clos » (une plate-forme fermée) ou d'autres possibilités.

Afin d'atténuer les effets d'erreurs sur un seul octet pour les utilisateurs d'un résolveur de DNS, l'administrateur du résolveur peut créer un RPZ qui protège contre les bitsquats de noms de domaines résolus fréquemment ou de noms de domaine internes uniquement. Par exemple, le RPZ peut être paramétré de sorte que toute requête envoyée au résolveur de DNS concernant des variantes bitsquat de ces domaines reçoive une réponse NXDOMAIN, « corrigeant » silencieusement les erreurs d'octet sans que le client subissant l'erreur d'octet n'ait rien à faire.24





Le secteur d'activitéLes enquêteurs de Cisco SIO élèvent la discussion autour des tendances sectorielles qui dépassent la télémétrie de Cisco.


54 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Secteur d'activité

Tentatives d'accès en force : une tactique privilégiée pour compromettre les sites WebBien que les tentatives d'accès en force ne constituent en aucune manière une tactique nouvelle pour les cybercriminels, leur utilisation a été multipliée par trois au premier semestre 2013.

Les enquêtes des chercheurs de Cisco TRAC/SIO ont révélé un hub de données utilisées pour alimenter ces actions. Il comprenait 8,9 millions de combinaisons nom d'utilisateur/mot de passe possibles, y compris des mots de passe solides, pas seulement le type de mot de passe facile à deviner comme « motdepasse123 ». Le vol d'informations d'accès d'utilisateurs contribue à maintenir cette liste bien étoffée, comme d'autres listes similaires.

FIGURE 28.

Comment fonctionnent les tentatives d'accès en force

L'ordinateur contacte le serveur de commande et contrôle et télécharge un cheval de Troie.

Les victimes reçoivent le téléchargeur et le cycle se répète.

Les sites Web a�ectés deviennent alors des relais pour le spam.

Une fois que la manœuvre a réussi, l'ordinateur charge le bot PHP avec d'autres scripts sur le site Web qui vient d'être compromis.

L'ordinateur attaque le site à l'aide de diverses exploitations de failles du CMS/tentatives de connexion en force.

L'ordinateur récupère des noms de site cible sur le serveur de commande et contrôle.




Les principales cibles des récentes tentatives d'accès en force sont des plates-formes de système de gestion de contenu (CMS, content-management system) très utilisées comme WordPress et Joomla. Le succès de tentatives d'accès non autorisé par le biais d'une plate-forme CMS donne aux agresseurs la possibilité de charger sur les sites compromis des portes dérobées PHP (pré-processeurs hypertexte) et d'autres scripts malveillants. Dans certains cas, l'atteinte peut permettre aux agresseurs de trouver un cheminement jusqu'à un serveur d'hébergement, dont ils peuvent alors prendre le contrôle (Figure 28).

Si l'on considère qu'il existe plus de 67 millions de sites WordPress dans le monde et que leurs éditeurs utilisent la plate-forme pour créer des blogs, des sites d'information, des sites de sociétés, des magazines, des réseaux sociaux, des sites sportifs, etc., il n'est pas surprenant que de nombreux criminels en ligne se mettent en tête de faire de ce CMS leur porte d'accès.25 Drupal, une plate-forme CMS qui connaît une croissance rapide, a elle aussi été ciblée cette année ; par exemple, en mai, ses utilisateurs ont reçu le conseil de modifier leurs mots de passe, parce que « un accès non autorisé [à Drupal] s'est produit par l'intermédiaire d'un logiciel de tiers installé sur l'infrastructure de serveur de Drupal.org ».26

Ce n'est toutefois pas seulement la popularité de ces systèmes qui en fait des cibles attrayantes. Beaucoup de ces sites, bien qu'actifs, ont été dans une large mesure abandonnés par leurs propriétaires. Il est probable qu'il existe des millions de blogs abandonnés et de domaines achetés et inactifs, et bon nombre d'entre eux sont probablement contrôlés aujourd'hui par des cybercriminels. Les experts de la sécurité de Cisco prédisent que le problème ne fera que s'aggraver à mesure que le nombre de personnes, sur les marchés Internet émergents du monde entier, créent un blog ou un site Web avant de s'en désintéresser.

L'utilisation répandue de plugins, destinés à étendre la fonctionnalité d'un CMS et de permettre l'utilisation de vidéos, d'animations et de jeux, s'avère aussi une aubaine pour les filous cherchant à accéder sans autorisation à des plates-formes comme WordPress et Joomla. De nombreuses atteintes de CMS observées par les chercheurs de Cisco en 2013 peuvent être remontées jusqu'à des plugins écrits dans la langue de script Web PHP à la conception médiocre et sans souci de sécurité.

De nombreux criminels en ligne se sont mis en

tête de faire de CMS leur porte d'accès.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9004dfUg&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9008d7Wn&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2054%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20more%20about%20key%20targets%20for%20recent%20brute-force%20login%20attempts.%0A%0Ahttp%3A//cs.co/9009d7WX


Attaques DDoS : ce qui revient en vogueLes attaques de déni de service distribué (DDoS), qui perturbent le trafic à destination et en provenance de sites ciblés et peuvent paralyser les FAI (fournisseurs d'accès à Internet), ont augmenté, tant en volume qu'en gravité.

Comme les attaques DDoS avaient longtemps été considérées comme « des nouvelles qui n'en sont pas » en termes de techniques cybercriminelles, de nombreuses entreprises étaient convaincues que les mesures de sécurité qu'elles avaient en place suffisaient à les protéger. Cette confiance a toutefois été ébranlée par des attaques DDoS à grande échelle en 2012 et 2013, dont l'Opération Ababil, qui a ciblé plusieurs institutions financières et avait probablement une motivation politique.27

« En 2014, les attaques DDoS devraient constituer une préoccupation de sécurité majeure pour les entreprises des secteurs public comme privé », affirme John N. Stewart, Vice-président senior et directeur de la sécurité de Cisco. « Attendez-vous à ce que les futures campagnes soient encore plus étendues et à ce qu'elles durent longtemps. Les entreprises, surtout celles qui ont des activités ou des intérêts dans des secteurs qui constituent déjà des cibles privilégiées, comme les services financiers et l'énergie, doivent se demander : 'Sommes-nous capables de résister à une attaque DDoS ?' »

Une nouvelle variante : certaines attaques DDoS sont probablement utilisées pour dissimuler d'autres viles activités, comme la fraude électronique, avant, pendant ou après une campagne (voir « DarkSeoul », page 58). Ces attaques peuvent déborder le personnel bancaire, empêcher de faire parvenir des avis de virement aux clients et empêcher les

AMPLIFICATION DU DNS :

Techniques d'atténuationLes attaques lancées par amplification du DNS resteront une préoccupation en 2014, selon les experts de la sécurité de Cisco. Le projet Open Resolver Project (openresolverproject.org) indique qu'en octobre 2013, 28 millions de résolveurs ouverts sur Internet constituaient une « menace substantielle » (à comparer aux 30 000 résolveurs ouverts seulement utilisés par l'attaque de DDoS Spamhaus de 300 Gops).

Si un résolveur est ouvert, il ne filtre pas les destinataires de ses réponses. Le DNS utilise le protocole UDP, qui est sans état, ce qui signifie qu'une requête peut être formulée au nom d'une autre partie. Cette partie reçoit alors un volume de trafic amplifié. C'est pourquoi l'identification de résolveurs ouverts, et la prise de mesures pour les fermer, continuera à occuper les professionnels pendant un certain temps.

Les entreprises peuvent réduire le risque d'une attaque lancée par amplification du DNS de différentes manières, dont la mise en œuvre des meilleures pratiques actuelles du groupe de travail en ingénierie Internet 38 pour éviter d'être la source d'attaques. Ces meilleures pratiques recommandent aux fournisseurs amont de connectivité IP de filtrer les paquets qui entrent dans leurs réseaux en provenance de clients descendants et d'éliminer tout paquet qui présente une adresse source non affectée à ce client.30 Cisco est co-auteur des meilleures pratiques, qui proposent des

Suite page suivante

[

]



http://www.openresolverproject.org

https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9006dfUi&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9007d7W5&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2055%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20how%20attacks%20launched%20through%20DNS%20amplification%20will%20remain%20a%20concern%20in%202014.%0A%0Ahttp%3A//cs.co/9008d7Wq


lignes directrices sur le déploiement de leur implémentation uRPF.31

Une autre technique de limitation consiste à configurer tous les serveurs DNS faisant autorité pour utiliser une limitation de fréquence. Le serveur de noms qui fait autorité, qui héberge le domaine d'une entreprise, est généralement ouvert à toutes les requêtes. La limitation du taux de réponse du DNS (DNS RRL) est une fonctionnalité qui peut être activée pour empêcher un serveur de DNS de répondre à la même question de la même entité un trop grand nombre de fois, et évite ainsi à l'entreprise d'être utilisée comme un intermédiaire dans les attaques DDoS. DNS RRL est activé sur les serveurs de DNS et constitue un moyen, pour l'administrateur du serveur, de limiter l'efficacité avec laquelle des agresseurs peuvent utiliser un serveur dans le cadre d'attaques d'amplification. La limitation du taux de réponse du DNS est une fonctionnalité récente, qui n'est pas supportée par tous les serveurs de DNS, mais elle l'est par le serveur de DNS populaire ISC BIND.

En outre, tous les serveurs de DNS récursifs doivent être configurés avec une liste de contrôle d'accès (ACL, access control list) pour qu'ils ne répondent qu'aux requêtes émanant d'hôtes sur leur propre réseau. Une liste ACL mal gérée peut constituer un facteur essentiel d'attaques sur le DNS, surtout pour les gros serveurs aux volumes de bande passante disponible substantiels. Cette technique contribue aussi à réduire

Suite page suivante


clients de signaler des cas de fraude. Quand l'institution finit par se remettre de l'événement, elle ne peut pas couvrir ses pertes financières. Une attaque de ce type s'est produite le 24 décembre 2012 ; elle ciblait le site Web d'un établissement financier régional en Californie et « a contribué à distraire les responsables de la banque d'une prise de contrôle de compte en ligne affectant l'un de ses clients, ce qui a permis aux voleurs de détourner plus de 900 000 dollars. »28

L'approfondissement rapide de l'expertise en matière d'atteinte aux serveurs d'hébergement ne fera que faciliter le lancement d'attaques DDoS par les cybercriminels et le vol auprès d'entreprises ciblées (voir « Des fractures dans un écosystème fragile », page 44). En prenant le contrôle d'une partie de l'infrastructure d'Internet, des acteurs malveillants peuvent profiter de volumes importants de bande passante, ce qui les met en bonne position pour lancer autant de campagnes puissantes qu'ils le veulent. Cela se produit déjà : en août 2013, le gouvernement chinois a indiqué que la plus importante attaque DDoS de son histoire avait mis à l'arrêt l'Internet chinois pendant environ quatre heures.29

Les spammeurs eux-mêmes utilisent des attaques DDoS en guise de rétorsion à l'égard d'entreprises qu'ils estiment gêner leur accumulation de revenus. En mars 2013, l'entreprise sans but lucratif Spamhaus, qui suit les spammeurs et crée la Spamhaus Block List, un annuaire d'adresses IP suspectes, a été la cible d'une attaque DDoS qui a temporairement fermé son site et ralenti le trafic sur Internet dans le monde entier. Les agresseurs étaient prétendument affiliés à CyberBunker, un fournisseur d'hébergement installé aux Pays-Bas aux conditions d'utilisation permissives, ainsi qu'à STOPhaus, qui a publiquement déclaré ne pas apprécier les activités de Spamhaus. L'attaque DDoS a fait suite à l'inclusion de CyberBunker sur la liste noire de Spamhaus, laquelle est très utilisée. Apparemment par mesure de rétorsion, des spammeurs soupçonnés ont tenté de mettre Spamhaus hors ligne par le biais d'une attaque DDoS.




les risques de devenir intermédiaire dans une attaque DDoS.

« Puisque l'on discute entre professionnels de la sécurité d'autoriser des serveurs de nom faisant autorité à désactiver le service aux entités qui deviennent intermédiaires d'attaques DDoS, les entreprises devraient adopter les techniques de limitation simples décrites plus haut », préconise Gavin Reid, directeur de l'intelligence en matière de menaces de Cisco.

Pour en savoir plus sur les meilleures pratiques concernant le DNS, se reporter à « Meilleures pratiques, protections du réseau et identification des attaques de DNS » : http://www.cisco.com/web/about/security/intelligence/dns-bcp.html.


Cet incident DDoS a fait appel à une attaque par amplification de DNS, qui exploite des résolveurs de DNS ouverts qui répondent même à des requêtes dont l'origine est extérieure à sa plage IP. En envoyant une requête très petite, soigneusement formulée, avec une adresse source de la cible obtenue par usurpation, les agresseurs peuvent déclencher une réponse nettement plus importante à destination de la cible choisie. Après que les premières tentatives pour mettre Spamhaus hors ligne ont échoué, les agresseurs ont eu recours à une attaque par amplification de DNS ciblant Tier 1 et d'autres fournisseurs en amont de Spamhaus.

DarkSeoulComme indiqué dans « Attaques DDoS : ce qui revient en vogue », le nouvel axe des cybercriminels et le développement rapide de leur expertise en matière d'atteinte aux serveurs d'hébergement ne font que faciliter le lancement d'attaques DDoS et le vol auprès d'entreprises.

Les chercheurs de Cisco en matière de sécurité signalent que les futures campagnes DDoS seront probablement capables de créer des perturbations et des dommages substantiels, y compris des pertes financières dues au vol.

Les attaques ciblées DarkSeoul de mars 2013 comprenaient le programme malveillant « wiper » conçu pour détruire des données sur les disques durs de dizaines de milliers d'ordinateurs personnels et de serveurs. Les attaques visaient des institutions financières et des sociétés de médias sud-coréennes, la charge transportée étant réglée pour s'activer simultanément. Le programme malveillant wiper semble toutefois ne constituer qu'une facette de l'attaque. Au moment même où le programme malveillant était déclenché, le site Web du fournisseur de réseau coréen



http://www.cisco.com/web/about/security/intelligence/dns-bcp.html




LG U+ était mutilé et les réseaux d'autres entreprises ciblées ont commencé à s'effondrer, ce qui constitue autant d'actions que le programme malveillant wiper ne peut pas reproduire.32

D'aucuns croient que les attaques résultaient d'une guerre virtuelle engagée par la Corée du Nord pour perturber la Corée du Sud au plan économique, ou d'un acte de sabotage d'un autre État-nation. Il est toutefois possible que les attaques DarkSeoul aient été conçues pour dissimuler un gain financier.33

Les chercheurs en matière de sécurité essaient toujours de comprendre ces attaques et de découvrir qui en était responsable, mais les preuves réunies indiquent que le projet DarkSeoul pourrait avoir été démarré en 2011 déjà. Cette année-là, le FBI (Bureau fédéral d'investigation américain, Federal Bureau of Investigation) signalait pour la première fois l'émergence de chevaux de Troie bancaires conçus pour dissimuler le virement de fonds frauduleux à partir de comptes de victimes.34 En 2012, la société de sécurité RSA signalait une nouvelle sorte de cybercriminels qui élaboraient une campagne élaborée de chevaux de Troie qui lanceraient une attaque à une date donnée et tenteraient de « prélever de l'argent d'autant de comptes compromis que possible avant que leurs activités soient arrêtées par les systèmes de sécurité ».35 Enfin, la veille de Noël 2012, des voleurs en ligne ont utilisé une attaque DDoS comme couverture pendant qu'ils volaient une institution financière régionale en Californie.36

Un chiffre binaire de programme malveillant identifié dans les attaques DarkSeoul qui ont ciblé des entreprises médiatiques et des institutions financières est un cheval de Troie bancaire qui ciblait expressément des clients de ces mêmes banques coréennes, selon les enquêteurs de Cisco TRAC/SIO. Ce fait, couplé au développement des tendances cybercriminelles qui ont précédé DarkSeoul, indique que la campagne pourrait avoir eu pour objet un vol qui aurait été maquillé pour brouiller les pistes.

Faux logiciels de protection (ransomware)

Tout au long de 2013, les agresseurs se sont de plus en plus éloignés des infections d'ordinateurs personnels conventionnelles utilisant des réseaux de zombies (botnets). Une partie de cette désaffection s'explique par le recours accru aux faux logiciels de protection comme charge ultime du programme malveillant, distribuée par les sites compromis, les courriels malveillants et les chevaux de Troie téléchargeurs. Les faux logiciels de protection (ransomware) sont une catégorie de programmes malveillants qui empêchent le fonctionnement normal des systèmes infectés jusqu'à ce qu'un montant prescrit soit acquitté.

Tout au long de 2013, les agresseurs se sont

de plus en plus éloignés des infections de PC

conventionnelles utilisant des réseaux de

zombies (botnet).

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9008dfUY&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9000d7Ws&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2058%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20how%20attacks%20are%20moving%20away%20from%20traditional%20botnet-driven%20infections%20on%20PCs.%0A%0Ahttp%3A//cs.co/9001d7Wt


Ils procurent aux agresseurs un flux de revenus directs difficile à repérer, sans nécessiter de recourir à des services loués intermédiaires comme ceux fournis par les réseaux de zombies (botnets) conventionnels. Les agresseurs copient des économies locales légitimes qui ont connu une augmentation substantielle des entreprises unipersonnelles suite aux pertes d'emploi et à la crise économique, mais la motivation des cybercriminels est la perte de la disponibilité des réseaux de zombies et des kits d'exploitation des failles accessibles en raison de prises de contrôle.

À l'automne 2013, un nouveau type de faux logiciel de protection surnommé CryptoLocker a commencé à crypter les fichiers de victimes par une combinaison de paires de clés RSA 2048-bit et AES-256, jugée impossible à décrypter. Concrètement, CryptoLocker déplace les fichiers au-delà de la machine locale pour inclure des types de fichiers correspondants sur tout lecteur mappé accessible en écriture. Une fois la routine de cryptage achevée, les victimes voient s'afficher une série de boîtes de dialogue qui donnent des instructions détaillées pour le paiement de la rançon (Figure 29). Un minuteur est également présenté, pour presser la victime de payer dans un délai précis (compris entre 30 et 100 heures). Le dialogue l'avertit en outre que faute de paiement de la rançon dans les délais, la clé privée sera supprimée du serveur de commande et de contrôle, ce qui fera perdre toute chance de décrypter les fichiers.

CryptoLocker est apparu mi-octobre, peut-être en réaction à la perte des kits d'exploitation de failles Blackhole et Cool après l'arrestation de l'auteur présumé de ces cadres.

FIGURE 29.

Instructions de rançon de CryptoLocker




La pénurie d'experts de la sécurité et le décalage des solutionsLa sophistication de la technologie et des tactiques employées par les criminels en ligne, ainsi que leurs tentatives incessantes pour contourner la sécurité des réseaux et voler des données, ont dépassé l'aptitude des professionnels de l'informatique et de la sécurité à faire face aux menaces. La plupart des entreprises ne disposent pas des ressources en personnel ou de systèmes nécessaires pour surveiller constamment leurs réseaux et déterminer la manière dont ils ont été infiltrés.

La pénurie d'experts de la sécurité aggrave ce problème : même quand les budgets sont généreux, les CISO ont du mal à embaucher des collaborateurs aux compétences en matière de sécurité totalement à jour. On estime qu'en 2014, le secteur manquera encore de plus d'un million de professionnels de la sécurité dans le monde. On manque aussi de professionnels de la sécurité dotés de compétences en matière de science des données ; en effet, la compréhension et l'analyse des données de sécurité peuvent contribuer à améliorer la mise en concordance avec les objectifs de l'entreprise (voir l'annexe en page 69, « Les entreprises de sécurité ont besoin de spécialistes des données : introduction aux outils d'analyse des données à l'intention des praticiens de la sécurité »).

Les CISO peinent à embaucher des collaborateurs aux

compétences en matière de sécurité pleinement

à jour.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9009dfUl&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9004d7Wa&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2060%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20how%20organizations%20cope%20with%20consistently%20monitoring%20their%20networks%20for%20attack.%0A%0Ahttp%3A//cs.co/9009d7WF


Le cloud en tant que nouveau périmètreComme les CISO le disent aux experts de la sécurité de Cisco (voir page 18), le déplacement vers le cloud de quantités toujours plus grandes de données d'entreprise critiques constitue un sujet d'inquiétude croissant du point de vue de la sécurité.

La révolution de l'informatique cloud, selon Michael Fuhrman, vice-président de l'ingénierie de Cisco, est comparable à l'apparition des solutions en ligne de la fin des années 1990.

« Il s'agissait d'une mutation radicale dans l'utilisation des nouvelles technologies par les entreprises et, dans le même temps, nous avons assisté à l'augmentation des attaques en ligne de la part de criminels », se souvient Michael Fuhrman. « Aujourd'hui, la mutation radicale provient du cloud. Non seulement les entreprises hébergent beaucoup de leurs applications essentielles dans le cloud, mais elles l'utilisent aussi pour consommer et analyser des informations de gestion critiques. »

L'ascendant que prend l'informatique cloud est indéniable et irrésistible. D'après les projections de Cisco, le trafic réseau cloud sera plus que multiplié par trois d'ici à 2017.37

À partir de 2014, les professionnels de la sécurité peuvent s'attendre à voir des périmètres d'entreprise entiers passer au cloud. Ces dernières années, la définition des limites de ces réseaux s'est faite de moins en moins nette. Avec tant d'applications et de données sur le cloud, les entreprises perdent rapidement la faculté de voir qui et qu'est-ce qui entre et sort des limites de l'entreprises, et les actions que posent les utilisateurs.

Cette transition vers le cloud modifie la donne, parce qu'elle redéfinit les lieux de stockage, de déplacement et d'accès des données et crée des occasions d'intrusion accrues pour les agresseurs.

La peur de perdre le contrôle des données dans le cloud est renforcée par le manque d'informations sur la manière dont les fournisseurs cloud défendent leurs produits contre les atteintes à la sécurité. Les entreprises ne posent souvent pas assez de questions sur le contenu des accords de niveau de service de leurs fournisseurs, ou sur la fréquence à laquelle ils mettent à niveau leur logiciel de sécurité ou effectuent des correctifs pour résoudre les vulnérabilités.

L'ascendant que prend l'informatique cloud est indéniable et irrésistible.

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9000dfUm&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9002d7W4&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2061%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20see%20how%20entire%20corporate%20perimeters%20could%20move%20to%20the%20cloud%20in%202014.%0A%0Ahttp%3A//cs.co/9005d7W7


Les entreprises doivent être rassurées sur l'utilisation par leur fournisseur de solutions cloud des outils et stratégies les plus sophistiqués du marché pour déjouer les attaques ou les détecter et les arrêter en cours d'exécution. Pour les équipes de sécurité informatique, la décision d'avancer dépend souvent de la réponse à une seule question : « Quels contrôles dois-je rechercher chez un fournisseur pour pouvoir lui faire confiance pour gérer et protéger mes données ? »

Les fournisseurs de solutions cloud, de leur côté, peinaient à identifier et à mettre en œuvre un ensemble gérable de contrôles respectant un nombre croissant de réglementations internationales, lesquelles sont nécessaires pour faire face à un environnement de menace de plus en plus hostile.

« Quand nous choisissons des fournisseurs de sécurité et d'infrastructures critiques, nous achetons souvent sur la foi de leurs qualifications techniques et de leur réputation », indique John N. Stewart, Vice-président senior et directeur de la sécurité de Cisco. « Ces derniers temps, le processus du fournisseur et l'évolution de son approche de la sécurité sont également devenus des facteurs de plus en plus importants. »

Il se trouve que ce qui fait du cloud une menace, comme sa localisation en dehors du périmètre du réseau et l'utilisation croissante du cloud pour des données critiques pour l'entreprise, peut permettre aux entreprises de prendre des décisions de sécurité plus exactes et presque en temps réel. Avec l'augmentation du trafic dans le cloud, les solutions de sécurité qui dépendent aussi de celui-ci peuvent analyser ce trafic rapidement et facilement et tirer profit de ce supplément d'informations. En outre, pour des entreprises de taille modérée ou au budget limité, un service dans le cloud bien protégé et bien géré peut offrir plus de dispositifs de protection que les serveurs et pare-feu de l'entreprise elle-même.

« Quand nous choisissons des fournisseurs de sécurité et d'infrastructures critiques, nous achetons souvent sur la foi de leurs qualifications techniques et de leur réputation. Ces derniers temps, le processus du fournisseur et l'évolution de son approche de la sécurité sont également devenus des facteurs de plus en plus importants. »John N. Stewart, Vice-président senior et directeur de la sécurité de Cisco.




RecommandationsUn nombre croissant d'entreprises peinent à affermir une vision de la sécurité qui repose sur une stratégie efficace qui utilise les nouvelles technologies, simplifie leur architecture et leur fonctionnement et renforce leurs équipes de sécurité.


65 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Recommandations

Objectifs pour 2014 : vérifier la fiabilité et améliorer la visibilitéAujourd'hui, dans un environnement où le niveau de confiance associé à un réseau ou un appareil doit être évalué de manière dynamique, les entreprises sont confrontées à des modèles de sécurité fragmentés qui ne permettent pas d'appliquer les dispositifs de manière cohérente ni de centraliser les informations sur les menaces, tandis que les fournisseurs et les produits à gérer prolifèrent.

Les connexions entre les entreprises, les données et les attaques élaborées lancées par des acteurs malveillants sont tout simplement trop complexes pour qu'un dispositif unique puisse les résoudre. En outre, la plupart des entreprises ne disposent pas d'un personnel de sécurité doté de l'expertise et de l'expérience nécessaires pour les aider à adapter leurs modèles de sécurité aux défis et aux opportunités que présentent l'informatique cloud, la mobilité et les autres nouvelles manières d'exercer une activité qui résultent des avancées de la technologie.

L'année écoulée a vu des entreprises de tous types peiner à comprendre comment adopter l'innovation sans créer de nouvelles failles de sécurité ou aggraver les failles déjà connues. 2013 a également amené sur le devant de la scène la question de la confiance. Les utilisateurs, tous types confondus, sont désormais encore plus susceptibles de douter de la fiabilité de la technologie sur laquelle ils s'appuient chaque jour, que ce soit dans leur travail ou dans leur vie privée. Il importe donc plus que jamais pour les fournisseurs de technologie de contribuer à assurer à leurs clients que la sécurité est une priorité dans leurs processus de fabrication, et d'être prêts à confirmer ces assurances.

« Nous sommes dans une situation de transition du marché où la confiance a de l'importance, et où les processus et la technologie doivent faire partie intégrante de la conception des produits pour que les fournisseurs répondent aux besoins créés par les menaces actuelles », déclare le responsable de la sécurité de Cisco John N. STEWART « La promesse d'une société ne suffit pas. Les entreprises ont besoin d'une vérification par le biais de produits certifiés, de procédés de développement intégrés, d'une technologie innovante et de normes respectées dans le secteur. Les entreprises doivent également avoir pour priorité permanente de vérifier la fiabilité des produits technologiques qu'elles utilisent et des fournisseurs auprès desquels elles se les procurent. »

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9002dfUo&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9004d7oG&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2064%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20read%20Cisco%27s%20chief%20security%20officer%20John%20N.%20Stewart%20discuss%20trust%20in%20a%20transitioning%20market.%0A%0Ahttp%3A//cs.co/9008d7oK


L'amélioration de l'alignement des activités de sécurité sur les objectifs de l'entreprise constitue également une mesure importante pour renforcer la sécurité de l'entreprise. Dans un contexte de ressources limitées et de budgets anémiques, un tel alignement peut aider les CISO et autres responsables de la sécurité de l'entreprise à identifier les principaux risques et les approches d'atténuation adéquates. Une partie de ce processus est l'acceptation du fait que toutes les ressources d'entreprise ne peuvent pas être complètement protégées en permanence. « Convenez de ce qui est le plus important dans une perspective de cybersécurité », recommande Gavin Reid, directeur de l'intelligence en matière de menaces de Cisco. « Cette approche est plus productive que d'espérer trouver une pilule magique qui réglera tout. »

Pour relever les défis de sécurité actuels sans fléchir, les entreprises doivent examiner leur modèle de sécurité de manière globale et acquérir une visibilité de l'intégralité du continuum :

•Avantuneattaque : Pour défendre leur réseau, les entreprises doivent savoir ce qui s'y trouve : périphériques, systèmes d'exploitation, services, applications, utilisateurs, etc. En outre, elles doivent appliquer des contrôles d'accès, exécuter des politiques de sécurité et bloquer des applications et l'accès général aux actifs essentiels. Les politiques et les contrôles ne constituent toutefois qu'une petite partie d'une image plus générale. Ces mesures peuvent contribuer à réduire la surface de l'attaque, mais il y aura toujours des failles que les agresseurs trouveront et exploiteront pour parvenir à leurs fins.

•Pendantuneattaque : Les entreprises doivent faire face à un vaste éventail de vecteurs d'attaque avec des solutions qui fonctionnent partout où une menace peut se manifester : sur le réseau, sur les terminaux, à partir d'appareils mobiles et dans des environnements virtuels. Une fois que des solutions efficaces sont en place, les professionnels de la sécurité sont mieux placés pour bloquer les menaces et aider à défendre l'environnement.

•Aprèsuneattaque : C'est inévitable, de nombreuses attaques réussissent. Cela signifie que les entreprises doivent avoir en place un plan formel qui leur permette de déterminer l'étendue des dommages, de contenir l'événement, d'y remédier et de rétablir un fonctionnement normal aussi rapidement que possible.

« Les agresseurs et leurs outils ont progressé et sont à même de tromper les défenses conventionnelles. La réalité est que la question n'est plus de savoir si des agresseurs accèderont au système, mais quand », affirme Marty Roesch, responsable de l'architecture de la sécurité au sein du groupe Sécurité de Cisco. « Une approche de la sécurité fondée sur la visibilité et axée sur les menaces est nécessaire pour protéger les utilisateurs pendant toutes les phases de l'attaque : avant, pendant et après celle-ci. »

[

]



https://twitter.com/intent/tweet?url=http%3A%2F%2Fcs.co%2F9003dfUU&text=Get+the+Latest+Findings+on+Malware+Threats&hashtags=


http://www.linkedin.com/shareArticle?mini=true&url=http%3A%2F%2Fcs.co%2F9003d7oP&title=&source=&summary=

mailto:?Subject=Get%20the%20Latest%20Findings%20on%20Malware%20Threats&Body=Go%20to%20page%2065%20of%20the%202014%20Cisco%20Annual%20Security%20Report%20to%20learn%20how%20attackers%20and%20their%20tools%20have%20advanced%20to%20evade%20traditional%20defenses.%0A%0Ahttp%3A//cs.co/9007d7oT


Comment les services aident à relever les défis sécuritairesAvec une plus grande surface d'attaque, la prolifération et la sophistication croissantes des modèles d'attaque et la complexité grandissante du réseau, un plus grand nombre d'entreprises peinent à affermir une vision de la sécurité qui utilise les nouvelles technologies, simplifie leur architecture et leur fonctionnement et renforce leur équipe.

La pénurie d'experts de la sécurité, évoquée en page 61, complique ces problèmes. En outre, le métier de la sécurité innove plus rapidement que les entreprises ne peuvent adopter et mettre en pratique ces nouveaux outils.

Il peut être difficile de trouver les talents à même de réagir efficacement à l'évolution du paysage sécuritaire. Le recours à des ressources externes en complément peut non seulement contribuer à réduire les coûts, mais aussi aider l'entreprise à libérer des ressources qui pourront se concentrer sur d'autres priorités.

Renforcer la chaîne là où elle faiblitBien sûr, en matière de maintien de la cybersécurité, il est capital de prévenir les menaces. C'est pourquoi, alors qu'un nombre accru de criminels se concentrent désormais sur des attaques de l'infrastructure d'Internet plutôt que d'ordinateurs individuels, les experts de la sécurité de Cisco recommandent aux FAI et aux sociétés d'hébergement d'aider plus activement à protéger l'intégrité d'Internet.

L'identification de menaces difficiles à détecter comme DarkLeech et Linux/CDorked (voir page 46) nécessite beaucoup plus de « réactivité humaine » de la part des fournisseurs d'hébergement. Cette réactivité implique de procéder à une enquête complète en réponse aux signalements des utilisateurs et de les prendre au sérieux. Les fournisseurs doivent aussi mettre en place de meilleurs contrôles pour s'assurer qu'ils peuvent vérifier l'intégrité des installations de système d'exploitation de leur serveur. Les enquêteurs de Cisco indiquent qu'avec des programmes malveillants furtifs comme CDorked, les équipes de sécurité n'ont aucun moyen de savoir que le chiffre binaire a été remplacé s'il n'y avait pas de contrôle en place a priori pour vérifier l'intégrité de l'installation.

Les systèmes d'utilisateurs individuels sont exposés à des risques d'atteinte, bien sûr, mais l'affaiblissement de la chaîne commence souvent bien avant qu'une menace ne les atteigne. Il arrive désormais plus souvent que l'attaque se produise en milieu de chaîne ; c'est pourquoi les fournisseurs doivent mieux connaître les menaces potentielles qui ciblent l'infrastructure d'Internet.




Annexe


69 Rapport annuel 2014 de Cisco sur la sécuritéRapport annuel 2014 de Cisco sur la sécurité Annexe

Les entreprises de sécurité ont besoin de spécialistes des données Introduction aux outils d'analyse des données à l'intention des praticiens de la sécurité

Les équipes de responsables de la sécurité (Chief security officer, CSO) réunissent une quantité de données sans précédent et les informations qu'elles contiennent sont bien trop précieuses pour rester inutilisées. L'analyse de données pertinentes en matière de sécurité donne des indices sur les activités des agresseurs et des informations exploitables sur la manière de déjouer des attaques.

L'analyse de données n'est pas nouvelle pour les praticiens de la sécurité. Ceux-ci s'attendent aussi à ce que des archives soient générées et étiquetées. Les testeurs d'intrusion créent une archive de l'enquête après chaque évaluation. Les concepteurs de systèmes d'exploitation appliquent des sous-systèmes de vérification. Les développeurs d'applications conçoivent des applications qui génèrent des journaux de bord.

Quel que soit le nom donné à l'archive, une chose est certaine : les praticiens de la sécurité détiennent un grand nombre de données, dont l'analyse peut déboucher sur des découvertes importantes.

Si l'analyse des données n'est en soi pas nouvelle, l'évolution du paysage de la sécurité a eu un impact sur le processus d'analyse des données :

•Le volume des données générées est saisissant.

•La fréquence à laquelle une analyse de données ad hoc est nécessaire va croissant.

•Les rapports standard, bien qu'utiles, sont insuffisants.

Les praticiens de la sécurité détiennent un grand nombre de

données, dont l'analyse peut déboucher sur

des découvertes importantes.




Heureusement, il n'est pas difficile pour les praticiens de la sécurité d'accéder à l'analyse de données, même dans cet environnement plus complexe, et l'écosystème d'outils d'analyse de données est riche. Ce qui suit est un aperçu de quelques outils à la libre disposition des praticiens pour commencer à analyser des données.

Analyse du trafic avec Wireshark et Scapy

Woresjark et Scapy sont deux outils qui excellent en matière d'analyse de trafic. Wireshark n'a pas besoin d'être présenté. Scapy est un outil sur base Python qui peut être utilisé soit comme un module de Python, soit de manière interactive pour réaliser ou inspecter du trafic.

Le riche ensemble d'outils de ligne de commande et de dissecteurs de protocole de Wireshark le rendent indispensable. Par exemple, dans le champ d'affichage du filtre tcp.stream de Wireshark, un fichier pcap contenant plusieurs flux de TCP peut être scindé en fichiers plus petits contenant chacun tous les paquets appartenant à un flux de TCP donné.

La Figure A1 montre la commande qui imprime l'index des flux de TCP des cinq premiers paquets de TCP inclus dans traffic_sample.pcap.

FIGURE A1 :

La commande tshark pour extraire l'index tcp.stream

tshark -r tra�c_sample.pcap -T �elds -e tcp.stream tcp | head -n 5

tshark est l'un des outils de ligne de commande de Wireshark.

tcp.stream fait référence au champ d'index de �ux de �ltres d'a�chage TCP.




Une fois que l'on dispose de cette connaissance, il devient possible de créer un script qui scindera traffic_sample.pcap en fichiers pcap distincts :

$ cat ~/bin/uniq_stream.sh #!/bin/bash

function getfile_name() {

orig_name=$1 stream=$2 file_name=”$(echo $orig_name | cut -d’.’ -f1)” file_name+=”-${stream}.pcap”

echo “${file_name}”

return 0 }

streams=$(tshark -r ${1} -T fields -e tcp.stream | sort -un | tr ‘\n’ ‘ ‘)

for x in ${streams} do file_name=$(getfile_name ${1} ${x}) echo “Creating ${file_name}...” tshark -r ${1} -w $file_name tcp.stream eq ${x} done $

Le script crée un fichier pcap différent pour chacun des 147 flux de TCP inclus dans traffic_sample.pcap. L'analyse approfondie de chaque flux de TCP s'en trouve facilitée. Les paquets non TCP du fichier traffic_sample.pcap ne se retrouveront dans aucun des nouveaux fichiers pcap :

$ /bin/uniq_stream.sh traffic_sample.pcap Creating traffic_sample-1.pcap... Creating traffic_sample-2.pcap... … … Creating traffic_sample-146.pcap... Creating traffic_sample-147.pcap...




Scapy a ses propres mérites. Comme il est développé dans Python, toutes les fonctionnalités du langage Python et les autres outils Python peuvent être utilisés. Le fragment qui suit montre comment Scapy utilise la surcharge de l'opérateur pour pouvoir créer du trafic rapidement et de manière intuitive :

# scapy

>>> dns_query = IP()/UDP()/DNS()

>>> from socket import gethostbyname,gethostname

>>> dns_query[IP].src = gethostbyname(gethostname())

>>> dns_query[IP].dst = “8,8.8,8”

>>> import random

>>> random.seed()

>>> dns_query[UDP].sport = random.randint(0, 2**16)

>>> dns_query[DNS].id = random.randint(0, 2**16)

>>> dns_query[DNS].qdcount = 1

>>> dns_query[DNS].qd = DNSQR(qname=“www.cisco.com”)

>>> scapy.sendrecv.sr1(dns_query)

>>> response = scapy.sendrecv.sr1(dns_query)

Begin emission:

............Finished to send 1 packets.

.*

Received 14 packets, got 1 answers, remaining 0 packets

>>> response[DNS].ar[DNSRR].rdata

‘64,102.255,44’

>>>

Cet exemple montre comment des paquets peuvent être constitués et comment on peut analyser du trafic en direct. Scapy peut toutefois être utilisé tout aussi facilement pour analyser des fichiers pcap.




Analyse de données CSV

Le format CSV (Comma-separated values, valeurs séparées par des virgules) est un format d'échange de données répandu. De nombreux outils (dont tshark) permettent à leur utilisateur d'exporter des données au format CSV. En général, les praticiens de la sécurité utilisent des programmes de feuille de calcul pour analyser les données CSV. Il est aussi souvent possible d'utiliser des outils de ligne de commande comme grep, cut, sed, awk, uniq et sort.

Vous pouvez envisager d'utiliser csvkit à la place. Csvkit présente plusieurs utilitaires qui facilitent le traitement de données CSV à partir de la ligne de commande. Examinez le fichier CSV qui suit et voyez comme il est facile de trouver toutes les lignes qui comportent l'hôte tty.example.org dans la colonne src :

$ head -n 3 tcp_data.csv src,srcport,dst,dstport “tty.example.org”,“51816”,”vex.example.org”,”443” “vex.example.org”,”443”,”tty.example.org”,”51816”

$ csvgrep -n tcp_data.csv 1: src 2: srcport 3: dst 4: dstport

$ csvgrep -c 1 -r ‘tty\.example\.org’ tcp_data.csv | head -n 5 src,srcport,dst,dstport tty.example.org,51816,vex.example.org,443 tty.example.org,51816,vex.example.org,443 tty.example.org,51427,paz.example.org,5222 tty.example.org,51767,bid.example.org,80




Csvkit comprend une foule d'utilitaires. Csvstat est particulièrement utile, car il calcule automatiquement diverses statistiques. Par exemple, la fréquence des cinq premiers hôtes src peut se calculer facilement :

$ csvstat -c 1 tcp_data.csv 1. src <type ‘unicode’> Nulls: False Unique values: 55 5 most frequent values:

tty.example.org: 2866 lad.example.org: 1242 bin.example.org: 531 trw.example.org: 443 met.example.org: 363 Max length: 15

Row count: 6896

Matplotlib, Pandas, IPython et autres

Il existe de nombreux outils d'analyse et de visualisation de données reposant sur Python. Vous pouvez les découvrir sur le site SciPy (http://www.scipy.org). Les progiciels Matplotlib, pandas et IPython sont particulièrement intéressants :

•Matplotlib permet une visualisation facile et souple.

•Pandas fournit des outils de manipulation et d'examen de données brutes.

•IPython apporte à l'interprète Python des fonctionnalités qui facilitent l'analyse de données interactives.



http://www.scipy.org


Ce qui suit démontre comment les praticiens de la sécurité peuvent utiliser ces trois outils pour tracer la courbe des principaux hôtes src dans tcp_data.csv :

In [3]: df = read_csv(“/Users/shiva/tmp/data_analysis/tcp_data.csv”)In [4]: dfOut[4]: <class ‘pandas.core.frame.DataFrame’>Int64Index: 6896 entries, 0 to 6895Data columns (total 4 columns):src 6896 non-null valuessrcport 6896 non-null valuesdst 6896 non-null valuesdstport 6896 non-null valuesdtypes: int64(2), object(2)In [5]: df[‘src’].value_counts()[0:10]Out[5]: tty.example.org 2866lad.example.org 1242bin.example.org 531trw.example.org 443met.example.org 363gee.example.org 240gag.example.org 126and.example.org 107cup.example.org 95chi.example.org 93dtype: int64In [6]: df[‘src’].value_counts()[0:10].plot(kind=“bar”)Out[6]: <matplotlib.axes.AxesSubplot at 0x8479c30>




FIGURE A2 :

Diagramme généré à l'aide de Plot ()

0

1 000

500

1 500

2 000

2 500

3 000

tty.

exam

ple.

org

lad.

exam

ple.

org

bin.

exam

ple.

org

trw

.exa

mpl

e.or

g

met

.exa

mpl

e.or

g

gee.

exam

ple.

org

gag.

exam

ple.

org

and.

exam

ple.

org

cup.

exam

ple.

org

chi.e

xam

ple.

org

Le grand intérêt de pandas réside dans la manière dont il permet aux utilisateurs d'explorer les données. Par exemple, il faut peu d'efforts pour trouver le nombre de srcports (ports src) à partir desquels se connecte tty.example.org pour chaque combinaison dst + dstport avec laquelle il communique :

In [229]: tty_df = df[df.src == “tty.example.org”] In [230]: num_ports = lambda x: len(set(x)) In [231]: pivot_table(tty_df, rows=[‘dst’,‘dstport’], values=‘srcport’, aggfunc=num_ports) Out[231]: dst dstport add.example.org 80 2 ala.example.org 80 3 and.example.org 80 1 auk.example.org 80 2 bid.example.org 80 1 …




Commencer à analyser les données

Les exemples des pages précédentes ne sont qu'une goutte dans l'océan et ne rendent pas justice aux outils référencés. Ils suffisent cependant aux praticiens de la sécurité pour commencer à effectuer une analyse de données qui ait du sens.

Les CSO doivent faire porter une casquette de spécialiste des données à leurs praticiens de la sécurité. À s'immerger dans les données disponibles, on acquiert des perspectives inaccessibles autrement. Avec le temps, l'intuition sur les parties des données à explorer se développe. Certaines entreprises peuvent même découvrir qu'elles ont avantage à disposer de spécialistes des données dédiés au sein de leurs équipes.




À propos de Cisco SIO


79 Rapport annuel 2014 de Cisco sur la sécurité À propos de Cisco SIO

Cisco SIOGérer et sécuriser les réseaux distribués et souples d'aujourd'hui est devenu un défi de plus en plus ardu.

Les cybercriminels continuent à exploiter la confiance des utilisateurs pour les applications et les périphériques grand public, augmentant ainsi le risque pour les entreprises et leurs employés. La sécurité traditionnelle, qui repose sur la superposition des produits et l'utilisation de nombreux filtres, ne suffit pas à assurer une protection contre la dernière génération de programmes malveillants qui se répandent rapidement, visent des cibles globales et utilisent de multiples vecteurs pour se propager.

Cisco conserve une longueur d'avance sur les toutes dernières menaces grâce aux capacités d'analyse des menaces en temps réel intégrées de Cisco SIO (Security Intelligence Operations). Cisco SIO est le plus grand écosystème de sécurité dans le cloud au monde. Il utilise plus de 75 téraoctets de flux de données en temps réel provenant de solutions Cisco déployées (messagerie, Web, pare-feu et système de prévention des intrusions ou IPS).

Cisco SIO examine et traite les données en classant automatiquement les menaces et en créant des règles qui utilisent plus de 200 paramètres. Les chercheurs spécialistes de la sécurité collectent et fournissent également des informations sur les événements susceptibles d'avoir un large impact sur les réseaux, les applications et les périphériques. Des règles sont transmises de façon dynamique aux dispositifs de sécurité Cisco déployés toutes les trois à cinq minutes.

L'équipe Cisco SIO publie également des recommandations sur les meilleures pratiques en matière de sécurité, ainsi que des conseils techniques pour repousser les attaques. Cisco s'engage à fournir des solutions de sécurité complètes à la fois intégrées, opportunes, globales et efficaces, offrant ainsi une sécurité holistique à toutes les entreprises à travers le monde. Grâce à Cisco, les entreprises peuvent ainsi consacrer moins de temps à la recherche de menaces et de failles et se concentrer davantage sur une approche proactive de la gestion de la sécurité.

Pour des informations sur l'intelligence d'alerte précoce, l'analyse des menaces et des vulnérabilités et les solutions de limitation éprouvées de Cisco, consultez la page www.cisco.com/go/sio.

La sécurité traditionnelle ne

constitue pas une défense suffisante contre

la dernière génération de programmes

malveillants.



www.cisco.com/go/sio

www.cisco.com/go/sio


Notes 1 Pour plus d'informations sur l'évolution « any-to-any » (de chacun vers tous les autres), voir « The Nexus of Devices, Clouds,

and Applications » dans le Rapport annuel 2013 sur la sécurité de Cisco : https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.

2 Ibid.

3 No More Chewy Centers: Introducing The Zero Trust Model Of Information Security, par John Kindervag, Forrester, 12 nov. 2012

4 “Timeline of Edward Snowden’s Revelations,” Al Jazeera America: http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html.

5 “NSA collecting phone records of millions of Verizon customers daily,” par Glenn Greenwald, The Guardian, 5 juin 2013: http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order.

6 GCHQ: Government Communications Headquarters, une agence de renseignement britannique.

7 “NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say,” par Barton Gellman et Ashkan Soltani, 30 oct. 2013, The Washington Post: http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html.

8 Pour plus d'informations, voir “Cisco Secure Development Life cycle (CSDL)”: http://www.cisco.com/web/about/security/cspo/csdl/index.html.

9 Ibid.

10 Cisco définit l'Internet of Everything comme « la prochaine vague de croissance spectaculaire d'Internet qui résultera de la confluence des individus, des processus, des données et des choses. »

11 “Massive Spam and Malware Campaign Following the Boston Tragedy,” Blog de Cisco sur la sécurité, 17 avril 2013: http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/.

12 Ibid.

13 Ibid.

14 Page « À propos de » du site Web de Java : http://www.java.com/en/about/.

15 Pour en savoir plus sur l'« évolution any-to-any » (de chacun vers tous les autres), voir le Rapport annuel 2013 de Cisco sur la sécurité : http://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf.

16 “Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities,” par Craig Williams, Blog de Cisco sur la sécurité, 4 mai 2013 : http://blogs.cisco.com/security/department-of-labor-watering-hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/.

17 “Watering-Hole Attacks Target Energy Sector,” par Emmanuel Tacheau, Blog de Cisco sur la sécurité, 18 sept. 2013 : http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/.

18 “Apache DarkLeech Compromises,” par Mary Landesman, Blog de Cisco sur la sécurité, 2 avr. 2013 : http://blogs.cisco.com/security/apache-DarkLeech-compromises/.

19 “Ongoing malware attack targeting Apache hijacks 20 000 sites,” par Dan Goodin, Ars Technica, 2 avr. 2013 : http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/.

20 “Linux/CDorked FAQS,” par Mary Landesman, Blog de Cisco sur la sécurité, 1er mai 2013 : http://blogs.cisco.com/security/linuxcdorked-faqs/.

21 “DarkLeech Apache Attacks Intensify,” par Matthew J. Schwartz, InformationWeek, 30 avr. 2013 : http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922.

22 Le typosquatting est la pratique qui consiste à enregistrer des noms de domained qui diffèrent d'un seul caractère d'un nom de domaine populaire.


https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf

https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf

http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html

http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html

http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order

http://www.theguardian.com/world/2013/jun/06/nsa-phone-records-verizon-court-order

http://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-worldwide-snowden-documents-say/2013/10/30/e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html



http://www.cisco.com/web/about/security/cspo/csdl/index.html

http://www.cisco.com/web/about/security/cspo/csdl/index.html

http://blogs.cisco.com/security/massive-spam-and-malware-campaign-following-the-boston-tragedy/

http://www.java.com/en/about/

http://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2013_ASR.pdf

http://blogs.cisco.com/security/department-of-labor-watering-hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/

http://blogs.cisco.com/security/department-of-labor-watering-hole-attack-confirmed-to-be-0-day-with-possible-advanced-reconnaissance-capabilities/

http://blogs.cisco.com/security/watering-hole-attacks-target-energy-sector/

http://blogs.cisco.com/security/apache-DarkLeech-compromises/

http://blogs.cisco.com/security/apache-DarkLeech-compromises/

http://arstechnica.com/security/2013/04/exclusive-ongoing-malware-attack-targeting-apache-hijacks-20000-sites/

http://blogs.cisco.com/security/linuxcdorked-faqs/

http://blogs.cisco.com/security/linuxcdorked-faqs/

http://www.informationweek.com/security/attacks/DarkLeech-apache-attacks-intensify/240153922


23 “Thanks to IoE, the next decade looks positively ‘nutty,’” par Dave Evans, Blog de la plate-forme Cisco, 12 fév. 2013 : http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/.

24 Pour plus d'informations sur les stratégies de limitation du bitsquatting, lire le livre blanc de Cisco intitulé Examining the Bitsquatting Attack Surface, 2013: http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_Surface-whitepaper.pdf.

25 “WordPress Sites in the World” et “A Look at Activity Across WordPress.com,” WordPress.com : http://en.wordpress.com/stats/.

26 “Important Security Update: Reset Your Drupal.org Password,” Drupal.org, 29 mai 2013 : https://drupal.org/news/130529SecurityUpdate.

27 La campagne de l'Opération Ababil a fait l'objet d'un rapport détaillé sur les schémas et les charges transportées dans “Cisco Event Response: Distributed Denial of Service Attacks on Financial Institutions”: http://www.cisco.com/web/about/security/intelligence/ ERP-financial-DDoS.html.

28 “DDoS Attack on Bank Hid $900 000 Cyberheist,” par Brian Krebs, blog de KrebsonSecurity, 19 fév. 2013 : http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.

29 “Chinese Internet Hit by Attack Over Weekend,” par Paul Mozer, China Real Time Report, WSJ.com, 26 août 2013 : http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/.

30 Source : Wikipedia: “Ingress Filtering”: http://en.wikipedia.org/wiki/Ingress_filtering.

31 “Understanding Unicast Reverse Path Forwarding,” site Web de Cisco : http://www.cisco.com/web/about/security/intelligence/unicast-rpf.html.

32 “Your Hard Drive Will Self-Destruct at 2 p.m.: Inside the South Korean Cyberattack,” par Sean Gallagher, Ars Technica, 20 mars 2013 : http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean- cyber-attack/.

33 “Thoughts on DarkSeoul: Data Sharing and Targeted Attackers,” par Seth Hanford, Blog de Cisco Security, 27 mars 2013 : http://blogs.cisco.com/tag/darkseoul/.

34 Ibid.

35 “Cyber Gang Seeks Botmasters to Wage Massive Wave of Trojan Attacks Against U.S. Banks,” par Mor Ahuvia, RSA, 4 oct. 2012 : https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/.

36 “DDoS Attack on Bank Hid $900 000 Cyberheist,” par Brian Krebs, blog de KrebsonSecurity 19 fév. 2013 : http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/.

37 “Cisco projects data center-cloud traffic to triple by 2017,” ZDNet, 15 oct. 2013 : http://www.zdnet.com/cisco-projects-data-center-cloud-traffic-to-triple-by-2017-7000021985/.


http://blogs.cisco.com/news/thanks-to-ioe-the-next-decade-looks-positively-nutty/

http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_Surface-whitepaper.pdf

http://blogs.cisco.com/wp-content/uploads/Schultz-Examining_the_Bitsquatting_Attack_Surface-whitepaper.pdf

http://en.wordpress.com/stats/

https://drupal.org/news/130529SecurityUpdate

http://www.cisco.com/web/about/security/intelligence/ERP-financial-DDoS.html



http://krebsonsecurity.com/2013/02/ddos-attack-on-bank-hid-900000-cyberheist/

http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend

http://en.wikipedia.org/wiki/Ingress_filtering

http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean-cyber-attack/

http://arstechnica.com/security/2013/03/your-hard-drive-will-self-destruct-at-2pm-inside-the-south-korean-cyber-attack/

http://blogs.cisco.com/tag/darkseoul/

https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/

http://www.zdnet.com/cisco-projects-data-center-cloud-traffic-to-triple-by-2017-7000021985

http://www.zdnet.com/cisco-projects-data-center-cloud-traffic-to-triple-by-2017-7000021985

Cisco compte plus de 200 agences à travers le monde. Les adresses, les numéros de téléphone et les numéros de fax sont répertoriés sur le site Web de Cisco, à l’adresse www.cisco.com/go/offices.

Tous les contenus sont sous Copyright © 2011-2014 Cisco Systems, Inc. Tous droits réservés. Ceci est un document public de Cisco. Cisco et le logo Cisco sont des marques déposées de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans d'autres pays. Vous trouverez la liste des marques commerciales de Cisco à la page www.cisco.com/go/trademarks. Les autres marques commerciales mentionnées dans le présent document sont la propriété de leurs détenteurs respectifs. L'utilisation du terme « partenaire » n'implique pas de relation de partenariat entre Cisco et une autre entreprise. (012114 v1)

Siège social aux États-Unis Cisco Systems, Inc. San Jose, Californie

Siège social en Asie-Pacifique Cisco Systems (USA) Pte. Ltd. Singapour

Siège social en Europe Cisco Systems International BV Amsterdam, Pays-Bas

www.cisco.com/go/offices

http://www.cisco.com/

Rapport annuel 2014 de Cisco sur la sécurité...2 Rapport annuel 2014 de Cisco sur la sécurité...

Documents

Transcript of Rapport annuel 2014 de Cisco sur la sécurité...2 Rapport annuel 2014 de Cisco sur la sécurité...