Menaces en ligne : brièveté et furtivité sont leurs caractéristiques actuelles

De nouvelles données communiquées par AVG illustrent l'ampleur du problème et les carences des approches classiques de la protection

AVG Technologies, l'un des leaders du développement de solutions de sécurité Internet, a publié des statistiques donnant une image inquiétante de l'évolution des menaces Web. La principale caractéristique des infections en ligne d'aujourd'hui est leur brièveté : près de 60 % des sites qui lancent ce qu'il est convenu d'appeler des téléchargements "drive-by" ou des attaques de manipulation psychologique sont infectieux une journée ou moins. Mesurées au niveau des pages plutôt que des sites, 74 % à 86 % des pages sont infectées une journée ou quelques heures seulement.



Les téléchargements « drive-by » sont des infections du système des visiteurs par des logiciels malveillants, sans que ces utilisateurs n'aient quoi que ce soit à faire : il n'est même pas nécessaire qu'ils cliquent sur un lien pour que leur machine soit infectée par un programme qui dérobera des mots de passe, des coordonnées de compte bancaire, etc.



Cette brièveté fait que, tout utilisateur d'un logiciel de protection reposant sur les signatures virales classiques ou des vérifications périodiques centralisées des millions de sites Internet actifs est entièrement démuni lorsqu'il visite un site transmettant ces infections transitoires. Une recherche plus approfondie de types d'infections spécifiques a permis à AVG de faire les constats suivants :



- 94 % des sites qui distribuent des attaques de type "faux codecs", c'est-à-dire proposant aux utilisateurs un codec ou un outil de conversion vidéo pour voir ou télécharger une vidéo particulière, mais qui est en réalité un logiciel malveillant, sont généralement actifs pendant moins de 10 jours, 62 % étant actifs moins d'un jour. L'illustration A ci-dessous est révélatrice de ce taux d'infection considérable.

- 91 % des sites qui distribuent des attaques en provenance de Chine, et qui dérobent très souvent des données apparemment inoffensives telles que des mots de passe du jeu World of Warcraft afin de les revendre sur des sites tels qu’eBay, sont généralement actifs pendant moins de 12 jours, près de 50 % étant actifs moins d'une journée.

- 72 % des sites qui distribuent de faux produits de protection contre les logiciels espions, déposent des logiciels espions sur la machine de l’utilisateur et lui proposent de les supprimer moyennant le paiement d'une redevance. Ils sont généralement actifs pendant moins de deux semaines, 28 % étant actifs moins d'une journée.



D'autres imbrications intéressantes permettent de savoir comment ces pirates opèrent. Dans un exemple cité, les données montrent que les cybercriminels utilisant de faux codecs consomment 4,6 fois plus de pages uniques que ceux qui ont recours à de faux produits de protection contre les logiciels espions. Cependant, ces données montrent également que les faux produits de protection contre les logiciels espions touchent 68 % plus d’utilisateurs que les faux codecs. Cela donne à penser que les attaques de logiciels espions sont généralement plus efficaces que les faux codecs. Elles sont également plus susceptibles d'échapper à la détection par des solutions de vérification périodique centralisée.



Selon Karel Obluk, directeur technique d'AVG Technologies, « les cyber-infections d'aujourd'hui se caractérisent par un comportement de type "aujourd'hui ici, demain parti". Tout produit de sécurité Web qui vérifie les sites Internet pour fournir un indice de sécurité relatif à ses utilisateurs, devrait visiter chacun des centaines de millions de sites actifs pour assurer une protection réelle contre ces menaces. Notre récente acquisition de la technologie d'analyse comportementale de Sana Security a permis d'ajouter une couche de protection supplémentaire contre les menaces nouvelles et inconnues. »



Le taux d'apparition de ces sites "aujourd'hui ici, demain parti" est également en hausse. Au cours des trois derniers mois seulement, les chercheurs d'AVG ont vu le nombre de nouveaux sites infectieux uniques passer de 100 000-200 000 par jour à 200 000-300 000 par jour, et cette tendance semble devoir se poursuivre. La figure B ci-dessous illustre cette tendance à la hausse.





Il apparaît que le nombre d'URL uniques augmente en partie parce que les cyber-criminels utilisent de plus en plus des jetons de chaîne de requête pour cibler individuellement les utilisateurs. Les chercheurs d'AVG poursuivent donc leurs investigations autour de cette tendance inquiétante.



Bien évidemment, l'utilisation de l'Internet pour distribuer des infections n'a rien de nouveau. Les pirates informatiques s'efforcent, depuis des années, d'amener les utilisateurs à télécharger des programmes qui déroberont des informations précieuses pour les leur communiquer. Ce qui est nouveau, en revanche, c'est que le crime organisé exploite désormais des logiciels malveillants achetés à des pirates sur l'un des nombreux "marchés de logiciels malveillants" aujourd'hui en ligne. Il sélectionne soigneusement un dispositif impossible à repérer, tel que le placement aléatoire d'une bannière publicitaire consortiale, afin de distribuer les leurres.



Les informations transitoires, qui changent rapidement, sont également une caractéristique des réseaux sociaux. Les cyber-criminels ont trouvé là un terrain fertile, des messages ou des bulletins provenant "d'amis" invitant les utilisateurs à visiter des sites malveillants, qui téléchargent alors un logiciel malveillant en arrière-plan. Les liens vers de la musique ou de la vidéo produite par des utilisateurs peuvent inviter les visiteurs à télécharger l'un de ces faux codecs. Si cela n'a rien d'extraordinaire dans ce contexte, il faut savoir qu'ils peuvent contenir une menace dissimulée.