Ready
NextFor What’s
Be
LES NOUVELLES TENDANCES DE LA CYBERCRIMINALITE
Kaspersky Lab dans le monde Un acteur majeur et reconnu dans le
développement de solutions de sécurité informatique – 4ème éditeur mondial d’antivirus
20 ans d’expérience dans le monde de la sécurité et de la recherche de malwares
Plus de 2500 employés, +800 techniciens R&D
BU : corporate, consumer, OEM Un siège social basé à Moscou en Russie 29 bureaux repartis sur l’ensemble des
continents CA : 87 M$ en 2006 (+61%) - 203 M$ en 2007
(+133%) - 370 M$ en 2008 (+83%) - 538 M$ en 2010 (+38%)
Evolution des logiciels malveillants
2 000 000
1 000 000
0
3 000 000
5 000 000
4 000 000
1999 2001 2003 2005 2007 2009 2011
35 000 000
70 000
Collections de menaces en 2009
Nouvelles menaces par jour
67 000 000
Collections de menaces en 2010
1 sur 14
En provenance de téléchargements
Signatures
LES CAUSESCybercriminalité
Démographie + technologie = cybercriminalité► Chiffres clés– Nombre d’internautes en 2007 : 1.000.000.000– Nombre d’internautes en 2010 : +2.000.000.000– Nombre en 2013 : 2.500.000.000 ?– Nombre estimé de pirates 2007 : 1.500.000– Nombre de développeurs Microsoft : 40.000– 36M de netbooks vendus en 2009 – 58M en 2010– 17 milliards de matériels connectés
► En France– 1999 : 3M d’abonnés - 2009 : 29M – 2011 : 38M– 1999 : 209.000 acheteurs en ligne, 2009 – 20M,
2010 – 25M
Nous vivons une époque exponentielle► 1M de domaines déposés tous les
mois► 192M de domaines actifs en 2009► 20.000 sites infectés en 2006► Aujourd’hui 1 site sur 150 est infecté
soit environ 1,3M de sites–+13 000% /2006– 1 page infectée toutes les 5 secondes
► +193% de spam en 2009
2007-2011
► 25.000.000 de nouvelles menaces contre 2.000.000 en 2007 ! (source Kaspersky Lab)
► +66% d’augmentation de logiciels indésirables entre le 1er et 2d semestre 2007 (source Microsoft via Windows Update)
► SPAM ! – 1978 : envoi du 1er spam sur Arpanet par DEC : 400
pers.– 1M/heure soit 80% du trafic selon différentes sources– 3.000 campagnes/jour - 7M emails/campagne – 1M d’adresses = 5$ ! (source Marshal)
– Une histoire sans fin ! Législations disparates !
LES CONSÉQUENCESCybercriminalité
9
Evolution des attaquants
1995-2006 2006 à aujourd’hui
2010 à aujourd’hui
Auteurs « Script-kiddies » Cybercriminels Hacktivistes (?)
But Amusement, défi, vandalisme « gratuit »
Vol, escroquerie…
Sabotage, désinformation…
Motivation
Reconnaissance, défi personnel, autosatisfaction
Argent uniquement
Politique, idéologique
Distribution
Hasard Hasard à ciblé selon compétences
Très ciblé
Moyens Limités Importants (groupes, mafia…)
Considérables (dons, états (?))
Maliciels I love you, Blaster, Slammer…
Kido/confickers, Zeus, Sality…
Stuxnet, DDoS, defacing...
Protection Basique (antivirus temps réels)
Renforcée (suite pare-feu, emails, web…)
Globale (application control, périphériques, contrôle Internet, vulnérabilités…)
Statistiques temps réelkaspersky.com/viruswatch3
Vecteurs infections variés► Vulnérabilités Windows ET éditeurs tiers– PDF– Flash/Shockwave– Quicktime…
► Sites web malicieux► Supports amovibles► Web 2.0 - Réseaux sociaux► Résultats moteurs de recherche (antivirus
factices)► Peer-to-Peer► Spam► …
12
Stats Q3 2011
Plus d'argent que le trafic de drogue► La cybercriminalité rapporte 1 trillion de
dollars par an dont $780M par le spam (source Finjan & Kaspersky)
► 1 seul réseau pirate peut récolter $10.800/j soit 39.4 millions de $/an (source Finjan)
– 17% des Pay-per-click sont générés par des Botnets– 190,000 attaques DDoS ont rapporté $20 million en 2008
► Professionnalisation– Programmeur– Donneur d’ordre– Exécutant
► La crise a aggravé la situation !
14
Pas tous égaux face à la cybercriminalité
L’avenir des hackers ?Les smartphones ?
+472% de malwares sur
Android entre juillet et
novembre 2011…
PLATFORM : N modif N fam % WinCE : 81 23 1,80 %SymbOS : 371 105 8,24 %Python : 64 6 1,42 %J2ME : 1632 62 36,26 %Iphone : 13 3 0,29 %Sgold : 4 3 0,09 %Android : 2353 101 52,28 %BlackBerry: 2 2 0,04 % Mobile modifications: 4520Mobile Last month: 866Mobile This month: 469Mobile fam: 305 15 et 30 nouvelles modifications par jour
LES SOURCES DE REVENUS
Cybercriminalité
Les business des hackers !
– Attaque DDoS (vente d’outils, vente de services « clé en main »)
– Spam (vente d’outils, vente de services « clé en main », vente d’adresse emails…)
– Phishing (kit prêt à l’emploi, réalisation de « campagne », hébergement, spear phishing…)
– Scareware (service de propagation (black SEO (Google Trends), vente du « logiciel », revente de la CB, utilisation ou revente du PC Zombie)
– Botnets : service de propagation, achat/vente de PC infectés– Ransomware : décryptage de données moyennant finance
(Western Union, SMS surtaxé…)– Fraude aux clics (jusqu’à 60.000$/an)– Vente de CB : prix variable selon pays & type de carte– Vente de comptes eBay/Paypal– Vente de comptes Facebook / MSN / Skype– Vente d’objets/comptes de jeux vidéo…– Formation : cours de hacking… etc. etc. etc.
Une imagination sans limites !
ETUDES DE CASCybercriminalité
Infection des postes nomades ► Utilisation personnelle et professionnelle d’une clé USB par l’utilisateur
nomade– Une borne d’impression photos numériques infectée– L’ordinateur infecté d’un ami
• La clé USB est maintenant infectée• Infection automatique par insertion de la clé USB sur poste professionnel
► Utilisation d’un ordinateur portable d’entreprise en déplacement ou en vacances– Accès direct sans filtrage à internet depuis l’hôtel, aéroport etc.– Visite de Youtube et vidéos utilisant du social engineering + sites malicieux– Infection à l’aide d’un site web légitime compromis
► Téléchargement de « cracks » depuis le domicile de l’utilisateur nomade– Sur le poste professionnel – Sur le poste personnel – Infection de la clé USB qui infecte les postes restants à chaque insertion
► Le malware se connecte sans filtrage à Internet et télécharge d’autres malwares (Dropper - vers, trojans, rootkit, bots, etc.) qu’il infecte à la volée…
Propagation en entreprise► Infection distante
– Connexion au réseau de l’entreprise à l’aide du VPN et d’un token pour récupérer un document ou logiciel.
► Infection locale– Notre utilisateur nomade rentre de déplacement / vacances et branche sa
machine infectée au réseau– Accès complet aux machines et partages de l’entreprise.– Le ver (infecté) se copie sur les partages de l’entreprise et ajoute des
autorun.inf et des noms de fichier attrayants et /ou trompeurs (Social Engineering)
– Le virus infecte les setup de diverses applications et les documents web sur les partages
– Une application métier est infectée
► Les utilisateurs lancent l’application métier et infectent les postes avec le virus
► Les utilisateurs sont infectés par le ver (infecté lui aussi) automatiquement à l’accès au partage réseau via l’exécution automatique (autorun.inf)
► De nouveaux partages sont découverts par le ver (partages utilisateurs par exemple) et le virus infecte de nouveaux exécutables et documents web
Propagation en entreprise (Suite)► Les webmasters qui mettent à jour le site Web de l’entreprise
sont infectés et mettent en ligne une version infectée du site web– L’entreprise devient alors vecteur d’infection pour ses
clients et visiteurs
► Les développeurs se font infecter et les applications compilées aussi– Les applications infectées sont testées pour « QA » et
infectent les machines de tests.– Risque de diffusion d’applications infectées (Microsoft,
IBM, Yamaha ont distribué des applications infectées dans le passé) qui peuvent nuire à l’entreprise
► Notre utilisateur mobile pendant ce temps vient d’envoyer un rapport à son manager et utilise sa clé USB pour lui donner des fichiers annexes trop gros– La machine du manager est infectée des l’insertion du
support amovible par le ver présent sur la clé– Le ver propage ainsi le virus sur la machine du manager et
sur les partages réseaux sensibles qu’il utilise pour stocker des documents pour la direction.
– La boucle est bouclée et l’infection remonte jusqu’aux dirigeants
Propagation en entreprise (Suite)► Un administrateur s’infecte en installant une application
récupérée sur les partages ou via exécution automatique (autorun.inf)– Pour simplifier l’administration, les partages administratifs sont
utilisés sur les serveurs.– Afin de simplifier certaines opérations de maintenance, seul le
port 80 est autorisé en sortie– Le virus en mémoire infecte tous les répertoires parcourus par
l’administrateur– Il télécharge de nouveaux malwares : Chevaux de Troie ,
Ransomware etc.
► Les serveurs & postes de l’entreprise & partages réseaux sont infectés
► Les filiales nationales et/ou internationales sont aussi infectées via les liaisons VPN
► Les clés USB, disques durs externes et téléphones portables (branchés comme périphériques de stockage) sont infectés
► Le site Web de l’entreprise est infecté
► Les logiciels développés par l’entreprise sont infectés
Conséquences pour l’entreprise► Un ransomware est finalement exécuté sur le serveur
de fichiers avec les droits administrateur et tous les documents PDF, WORD, EXCEL, code source, etc. présents sont chiffrées et effacés– Le malware débute la tentative d’extorsion et fournit les
informations de paiement pour pouvoir récupérer les fichiers
► Alternative: un cheval de Troie s’empresse d’envoyer les documents trouvés sur un serveur hébergé à l’étranger Fuite d’information confidentielle
► Le site web de l’entreprise infecte les visiteurs► Les logiciels distribués par l’entreprise sont infectés
– Quid de la réputation de l’entreprise – Surcoûts et retards pour l’entreprise : rappels des produits,
etc.
► Le parc de l’entreprise est infecté ainsi que les filiales…
Conclusion► Le virus et le ver du scénario existent vraiment► Chaque élément du scénario est déjà arrivé!► Il est d’une importance capitale de :
– Maintenir la machine à jour, encore plus si elle est nomade !– Utiliser une suite de sécurité et surtout de la maintenir à jour– Utiliser les derniers navigateurs avec leurs MAJ (IE, Firefox, Opera,
Chrome…) et des logiciels alternatifs…– Mettre en place des politiques de sécurité spécifiques pour les
postes nomades – Ne pas utiliser un poste nomade pour administrer les serveurs– Ne pas utiliser les partages administratifs– Désactiver Autoruns sur toutes les machines du Parc– Paramétrer les droits sur les partages (pas de droits d’écriture si les
utilisateurs sont sensés récupérer des setups par exemple)– Contrôler l’accès /surf sur le web via proxy avec authentification ou
via un logiciel installé localement se prémunir des mises des malwares
– Vérifier les sources du site web en cas d’infection globale et régulièrement quand tout va bien
KASPERSKY POUR VOUS PROTÉGER
Cybercriminalité
Kaspersky Endpoint Security 8 pour Windows
► Protection– Signatures antimalwares– Défenses proactives– Kaspersky Security
Network (Cloud)
► Contrôle– Contrôle des applications– Gestion des vulnérabilités– Contrôle des périphériques– Filtrage de contenu Internet
27
Défense contre les menaces d’aujourd’hui et de demain
28
Une console 5 en 1
►Console de sécurité►Console de prise en main à
distance►Console de déploiement►Console de gestion de
vulnérabilités►Console d’inventaires
Caractéristiques de la console 9► Souplesse de l’architecture
– Centralisée ou décentralisée– Locale ou hébergée…
► Console MMC– Utilisation simple et rapide
sous forme arborescente– Gestion par groupes/sous-
groupes– Notion d’héritage– Glisser/déplacer– Copier/coller…– + console Web de supervision
► Déploiement simple– Assistant de démarrage initial– Broadcast réseau– Connecteurs AD– Désinstallation AV
concurrents– Déploiement en masse via
agent(s) relais
– Gestion fine des mises à jour (agents relais, nomades…)
– Gestion des stratégies par produit• Customisation selon les
besoins• Passage automatique
LAN/NomadeRemontée d’informations
• Tableaux de bord dynamiques
• Rapports / Evènements• Requêtes…
– Fonctions ‘périmétriques’• Affichage des applications
installées• Tunneling SSL• Installation d’applications
tierces• Messages pop-up• Affichage des adresses IP
– Tâche de sauvegarde...
Merci [email protected]