Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
www.microsoft.com/sir
Rapport sur les données de sécurité
Microsoft
Volume 13
JANVIER-JUIN 2012
PRINCIPAUX RÉSULTATS
JANVIER–JUIN 2012 3
Rapport sur les données de sécurité Microsoft Ce document est fourni à titre informatif uniquement. MICROSOFT N'APPORTE
AUCUNE GARANTIE, EXPRESSE, IMPLICITE OU LÉGALE, QUANT AUX
INFORMATIONS CONTENUES DANS CE DOCUMENT.
Ce document est fourni « en l'état ». Les informations et les avis qu'il contient,
y compris les URL et autres références à des sites Web Internet, pourront faire
l'objet de modifications sans préavis. Vous assumez tous les risques liés à son
utilisation.
Copyright © 2012 Microsoft Corporation. Tous droits réservés.
Les noms de produits et de sociétés réels mentionnés dans ce document sont
des marques de leurs propriétaires respectifs.
4 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13
Rapport sur les données de sécurité Microsoft, volume 13
Le volume 13 du rapport sur les données de sécurité Microsoft® (SIRv13) fournit un
aperçu précis des vulnérabilités et attaques logicielles, sur les menaces des codes
malveillants et sur les logiciels potentiellement indésirables de Microsoft et de
tiers. Microsoft a élaboré cet aperçu sur la base d'analyses de tendances détaillées
réalisées au cours des dernières années, avec un intérêt particulier pour le premier
semestre de 2012.
Ce document résume les principaux résultats du rapport.Le rapportcomplet
comprend également une analyse détaillée des tendances observées dans plus de
100 pays/régions du monde et propose des pistes de gestion des risques menaçant
votre organisation, vos logiciels et votre personnel.
Vous pouvez télécharger le rapport complet à l'adresse suivante :
www.microsoft.com/sir.
JANVIER–JUIN 2012 5
Évaluation des menaces à l'échelle internationale
Vulnérabilités
Les vulnérabilités sont définies comme les points faibles d'un logiciel permettant à
une personne mal intentionnée de compromettre l'intégrité, la disponibilité ou la
confidentialité de ce logiciel ou des données qu'il traite. Dans le pire des cas, elle
peut aller jusqu'à permettre aux personnes mal intentionnées d'exploiter le
système compromis afin d'exécuter du code malveillant, sans que l'utilisateur ne
s'en rende compte.
1Figure 1. Tendances concernant la gravité des vulnérabilités (CVE), la complexité des vulnérabilités, les
divulgations par le fournisseur et les divulgations par type, pour l'ensemble du secteur des logiciels,
2S09-1S12
1 La nomenclature utilisée dans ce rapport pour désigner différentes périodes de référence correspond au format nSAA, où nS se rapporte à la première (1) ou seconde (2) moitié de l'année, et où AA représente l'année. Par exemple, 2S09 représente la période couvrant le deuxième semestre 2009 (du 1er juillet au 31 décembre) et 1S12 désigne la période couvrant le premier semestre de 2012 (du 1er janvier au 30 juin).
6 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13
Les divulgations de vulnérabilités dans tout le secteur au 1S12 étaient
supérieures de 11,3 % par rapport au 2S11 et de 4,8 % par rapport au 1S11.
Cette augmentation inverse une tendance à la baisse faible enregistrée à
chaque semestre depuis le 2S09 jusqu'au 2S11. La majeure partie de cette
augmentation est imputable à des vulnérabilités au niveau des applications,
tandis que les vulnérabilités au niveau des systèmes d'exploitation poursuivent
leur phase descendante.
Codes malveillants
Un code malveillant est un code qui profite de vulnérabilités logicielles afin
d'infecter, de perturber ou de prendre le contrôle d'un ordinateur sans le
consentement de l'utilisateur et, en général, sans même qu'il en soit conscient.
Les codes malveillants visent des vulnérabilités dans des systèmes d'exploitation,
des navigateurs Web, des applications ou des composants logiciels installés sur
l'ordinateur. Pour plus d’informations, téléchargez le volume 13 du rapport sur les
données de sécurité Microsoft dans son intégralité depuis le site
www.microsoft.com/sir.
La figure 2 illustre la présence de différents types de codes malveillants détectés
par les produits anti-programmes malveillants de Microsoft chaque trimestre du
1T11 au 2T12 par nombre d'ordinateurs uniques affectés.
JANVIER–JUIN 2012 7
Figure 2. Ordinateurs uniques signalant différents types de codes malveillants, 1T11-2T12
Le nombre d'ordinateurs signalant la présence de codes malveillants
acheminés via HTML ou JavaScript est resté élevé au cours du premier
semestre de 2012 ; cette tendance était principalement à imputer à la présence
de Blacole, la famille de codes malveillants la plus couramment détectée au
premier semestre 2012.
Le nombre de codes malveillants Java, le deuxième type de codes malveillants
le plus couramment détecté au 1S12, a augmenté au cours de cette période ;
cet accroissement est du à une détection supérieure de codes malveillants
pour CVE-2012-0507 et CVE-2011-3544.
Les codes malveillants qui ciblent les vulnérabilités des lecteurs et éditeurs de
documents arrivaient en troisième position des types de codes malveillants
les plus souvent détectés au cours du 1S12, principalement en raison de
détections de codes malveillants qui ciblent des versions plus anciennes
d'Adobe Reader.
8 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13
Familles de codes malveillants
La figure 3 reprend les familles d'éléments apparentés aux codes malveillants les
plus détectées au cours du premier semestre de 2012.
Figure 3 Familles de codes malveillants les plus détectées par les produits anti-programmes malveillants
de Microsoft au 1S12, par nombre d'ordinateurs uniques ; les nombres de détections sont foncés selon
leur présence relative.
Familles de codes malveillants
Plateforme ou technologie
3T11 4T11 1T12 2T12
Blacole HTML/JavaScript 1 054 045 2 535 171 3 154 826 2 793 451
CVE-2012-0507* Java – – 205 613 1 494 074
Win32/Pdfjsc Documents 491 036 921 325 1 430 448 1 217 348
IFrame malveillant HTML/JavaScript 1 610 177 1 191 316 950 347 812 470
CVE-2010-0840* Java 1 527 000 1 446 271 1 254 553 810 254
CVE-2011-3544 Java – 331 231 1 358 266 803 053
CVE-2010-2568 (MS10-046)
Système d'exploitation
517 322 656 922 726 797 783 013
JS/Phoex Java – – 274 811 232 773
CVE-2008-5353 Java 335 259 537 807 295 515 215 593
ShellCode Shell code 71 729 112 399 105 479 145 352 * Cette vulnérabilité est également utilisée par le kit Blacole ; les totaux présentés ici pour cette vulnérabilité excluent les détections de Blacole.
Blacole, une famille de codes malveillants utilisée par le kit de codes
malveillants « Blackhole » pour propager des programmes malveillants par le
biais de pages Web infectées, était la famille de codes malveillants la plus
couramment détectée au cours du premier semestre de 2012. Les personnes
malveillantes potentielles achètent ou louent le kit Blacole sur des forums de
pirates informatiques et par le biais de sources illégales. Il s'agit d'un ensemble
de pages Web malveillantes contenant des codes malveillants visant des
vulnérabilités au niveau des versions d'Adobe Flash Player, Adobe Reader,
Microsoft Data Access Components (MDAC), l'environnement d’exécution
Java (JRE) d'Oracle, ainsi que d'autres produits et composants populaires.
Lorsque la personne malveillante installe le kit Blacole sur un serveur Web
malveillant ou compromis, les visiteurs qui n'ont pas installé les mises à jour
de sécurité appropriées risquent d'être infectés par une attaque via des
téléchargements intempestifs.
JANVIER–JUIN 2012 9
Programmes malveillants et potentiellement indésirables
Sauf spécification contraire, les informations de cette section ont été compilées à
partir de données de télémesure générées à partir de plus de 600 millions
d'ordinateurs dans le monde et plusieurs des services en ligne les plus sollicités
sur Internet. Les taux d'infection sont indiqués à l'aide d'une unité appelée
« ordinateurs nettoyés pour mille exécutions » (Computers Cleaned per Mille,
CCM) et représentent le nombre d'ordinateurs signalés comme étant nettoyés au
cours d'un trimestre toutes les 1 000 exécutions de l'outil de suppression des
programmes malveillants de Windows®, disponible via Microsoft Update et le site
Web du Centre de sécurité Microsoft.
Pour fournir un aperçu global des modèles d'infection, la figure 4 indique les taux
d'infection dans le monde à l'aide de l'unité CCM. Le nombre de détections et de
suppressions dans les différents pays/régions peut varier fortement d'un trimestre
à l'autre.
Figure 4. Taux d'infection par pays/région au 2T12, par CCM
10 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13
Figure 5. Taux d'infection (CCM) par système d'exploitation et Service Pack au 2T12
« 32 »= version 32 bits ; « 64 » = version 64 bits. SP = Service Pack. RTM = release to manufacturing
(version finale). Systèmes d'exploitation enregistrant au moins 0,1 % d'exécutions de l'outil de
suppressions des programmes malveillants au total au 2T12.
Ces données sont normalisées : le taux d'infection pour chaque version de
Windows est calculé en comparant un nombre égal d'ordinateurs par version
(par exemple, 1 000 ordinateurs Windows XP SP3 par rapport à
1 000 ordinateurs Windows 7 RTM).
JANVIER–JUIN 2012 11
Familles de menaces
Figure 6. Tendances en matière de détection pour certaines familles importantes, du 3T11 au 2T12
Les deux détections génériques Win32/Keygen et Win32/Autorun étaient
respectivement les première et deuxième familles les plus couramment
détectées au 1S12. Keygen est une détection générique pour les outils qui
génèrent des clés pour des versions de différents produits logiciels obtenus
illégalement.
Autorun est une détection générique pour les vers qui se répandent entre
des volumes montés à l'aide de la fonction Autorun de Windows.
Des modifications récentes au niveau de cette fonctionnalité dans
Windows XP et Windows Vista ont rendu cette technique moins efficace,
mais les personnes malveillantes continuent de diffuser des programmes
malveillants qui essaient de cibler cette fonction.
Les détections de la famille générique JS/IframeRef ont plus que doublé entre
le 1T12 et le 2T12 après plusieurs trimestres de baisse modérée. IframeRef est
une détection générique des balises de cadre en ligne (IFrame) HTML
spécialement formées qui visent des sites Web contenant du code malveillant.
12 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13
Menaces pour les particuliers et les entreprises
La comparaison des menaces rencontrées par les ordinateurs appartenant ou non
à un domaine peut fournir un aperçu des différentes méthodes qu'utilisent les
personnes mal intentionnées pour cibler les entreprises et les particuliers.
Cette comparaison permet également de savoir quelles sont les menaces les
plus susceptibles d'aboutir dans chaque environnement.
Cinq familles sont présentes sur les deux listes, notamment les familles
génériques Win32/Keygen et Win32/Autorun , ainsi que la famille de codes
malveillants Blacole.
Parmi les familles beaucoup plus répandues sur les ordinateurs appartenant
à un domaine pendant au moins un trimestre figurent la famille générique
JS/IframeRef et la famille de vers Win32/Conficker.
Parmi les familles beaucoup plus présentes sur les ordinateurs n'appartenant
pas à un domaine figurent Keygen et les familles de logiciels publicitaires
JS/Pornpop et Win32/Hotbar.
JANVIER–JUIN 2012 13
Utilisation de Windows Update et de Microsoft Update
Figure 7. Ordinateurs Windows mis à jour par Windows Update et Microsoft Update, à l'échelle
internationale, 2008–2012
La figure 7 montre l'augmentation du nombre d'ordinateurs mis à jour par
Windows Update et Microsoft Update à l'échelle internationale au cours des
quatre dernières années ; l'indexation est effectuée selon l'utilisation
exhaustive des deux services en 2008.
Depuis 2008, l'utilisation mondiale de Windows Update et Microsoft Update
a augmenté de 60 %. La quasi totalité de cette croissance est imputable à
l'utilisation accrue de Microsoft Update, laquelle s'élevait à 53 points de
pourcentage entre 2008 et 2012 par rapport aux 6 points de pourcentage
pour Windows Update.
14 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13
Windows Update fournit des mises à jour pour les composants Windows
et les pilotes de périphériques Microsoft, ainsi que d'autres fournisseurs de
matériel. Windows Update diffuse également les mises à jour de signature
pour les produits anti-programmes malveillants de Microsoft et la publication
mensuelle de l'outil de suppression des logiciels malveillants. Par défaut,
lorsqu'un utilisateur active la mise à jour automatique, le client de mise à
jour se connecte automatiquement au service Windows Update pour les mises
à jour.
Microsoft Update fournit toutes les mises à jour proposées par Windows
Update, ainsi que des mises à jour pour d'autres logiciels Microsoft, comme le
système Microsoft Office, Microsoft SQL Server et Microsoft Exchange Server.
Les utilisateurs peuvent s'inscrire à ce service en installant les logiciels
entretenus via Microsoft Update ou sur le site Web de Microsoft Update
(update.microsoft.com/microsoftupdate). Microsoft recommande aux
utilisateurs de configurer leurs ordinateurs pour que ces derniers utilisent
Microsoft Update plutôt que Windows Update afin d'être sûrs de recevoir
des mises à jour de sécurité opportunes pour des produits Microsoft.
JANVIER–JUIN 2012 15
Menaces liées au courrier électronique
Courrier indésirable bloqué
Les informations présentes dans cette section du rapport sur les données de sécurité
Microsoft sont compilées à partir de données de télémesure fournies par Microsoft
Exchange Online Protection, qui offre des services de filtrage de courrier
indésirable, de courrier d'hameçonnage et de programmes malveillants pour des
milliers de clients d'entreprises Microsoft qui traitent des dizaines de milliards de
messages tous les mois.
Figure 8. Messages bloqués par Exchange Online Protection, Juillet 2011-Juin 2012
Les volumes de courrier bloqués au 1S12 correspondaient à ceux du 2S11 ;
ces quantités sont restées bien en deçà des niveaux constatés auparavant à la
fin de l'année 2010. La baisse significative de courrier indésirable enregistrée
au cours des trois derniers semestres s'est produite à la suite de mises hors
service de plusieurs botnets de grande envergure émetteurs de courrier
indésirable, tels que Cutwail (août 2010) et Rustock (mars 2011).
16 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13
Figure 9. Messages bloqués par Exchange Online Protection à chaque semestre, 2S08–1S12
Figure 10. Messages entrants bloqués par les filtres Exchange Online Protection au 1S12, par catégorie
Les filtres de contenu FOPE permettent d'identifier plusieurs types courants
de courrier indésirable. La figure 10 illustre la présence relative de ces types
de courrier indésirable détectés au 1S12.
JANVIER–JUIN 2012 17
Sites Web malveillants
Les sites d'hameçonnage sont hébergés dans le monde entier sur des sites
d'hébergement gratuits, sur des serveurs Web compromis et dans de nombreux
autres contextes.
Figure 11. Sites d'hameçonnage pour 1 000 hôtes Internet dans différentes régions du monde au 2S12
Les États-Unis (où se trouvent le plus grand nombre d'hôtes) disposent également
d'un grand nombre de sites d'hameçonnage (2,9 pour 1 000 hôtes Internet au
2S12) ; la Chine arrive en deuxième position et compte un nombre nettement
moins important de sites d'hameçonnage (0,6 pour 1 000 hôtes Internet).
Figure 12. Sites de distribution de programmes malveillants pour 1 000 hôtes Internet dans différentes
régions du monde au 2T12
18 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13
Un site de téléchargements intempestifs automatiques est un site Web qui héberge un
ou plusieurs codes malveillants ciblant les vulnérabilités de navigateurs Web et de
modules complémentaires de navigateurs. Les ordinateurs vulnérables peuvent
être infectés par un programme malveillant après une simple visite d'un tel site
Web, sans même que l'utilisateur tente de télécharger quoi que ce soit.
Figure 13. Pages de téléchargements intempestifs automatiques indexées par Bing.com à la fin du 2T12,
pour 1 000 URL dans chaque pays/région
Ce document résume les principaux résultats du rapport.Le rapportcomplet
comprend également une analyse détaillée des tendances observées dans plus de
100 pays/régions du monde et propose des pistes de gestion des risques menaçant
votre organisation, vos logiciels et votre personnel.
Vous pouvez télécharger le rapport complet à l'adresse suivante :
www.microsoft.com/sir.
One Microsoft Way
Redmond, WA 98052-6399
microsoft.com/security