TOOLinux

Le journal du Libre

Symantec au rapport Internet Security

mercredi 1er octobre 2003

Plus encore que la France, la Belgique figure en troisième position du top 10 des pays d’où proviennent le plus de cyber-attaques en proportion du nombre d’utilisateurs Internet. Au mois de février, la Belgique occupait encore la septième place de ce hit-parade. Israël et les Etats-Unis précèdent la Belgique dans la liste.

Les menaces combinées, qui utilisent une combinaison de codes malicieux et de vulnérabilités afin de lancer une attaque, demeurent le danger principal pour les entreprises. Au cours du premier semestre 2003, elles ont représenté 60% des soumissions de codes malicieux enregistrant ainsi une progression de 20%.

Le fait marquant révélé par le rapport est l’augmentation de leur vitesse de propagation. En effet, il n’aura fallu que quelques heures au ver Slammer pour infecter des systèmes dans le monde entier ; le ver Blaster a, quant à lui, infecté 2 500 ordinateurs par heure. Pour Symantec la propagation des vers devrait encore s’accroître, provoquant ainsi une surcharge des équipements informatiques et une paralysie du trafic Internet.

Dans cette nouvelle édition de l’Internet Security Threat Report, Symantec propose pour la première fois une analyse des vulnérabilités les plus exploitées par les attaquants. On constate ainsi que 64% des nouvelles attaques visaient des vulnérabilités de moins d’un an. De plus, 66% de toutes les attaques recensées au cours du premier trimestre 2003 exploitaient des vulnérabilités jugées ‘très graves’.

Pour Symantec, le temps entre la découverte d’une attaque et son déclenchement est de plus en plus court. Les activités récentes confirment cette analyse : la menace combinée W32.Blaster, par exemple, ne s’est déclenchée que 26 jours après l’annonce de la vulnérabilité.

« Le Symantec Internet Security Threat Report combine des données sur la sécurité provenant de vastes sources mondiales d’information avec les analyses approfondies d’experts en sécurité, commente Wouter Marien, PreSales Manager Symantec. Le rapport apporte aux entreprises une source d’information fiable en ce qui concerne les tendances et développements récents de la sécurité sur Internet, leur permettant d’évaluer leurs stratégies de sécurité ».

Les principales conclusions de l’Internet Security Threat Report :

Les tendances en matière de cyber-attaques
Le nombre total d’attaques a augmenté de 19%. Au premier semestre 2003, chaque entreprise a enregistré près de 38 attaques par semaine, contre 32 au premier semestre 2002.
Les attaques sont cataloguées en fonction de leur sévérité. Le nombre d’attaques sévères est passé de 23% au premier semestre 2002 à 11% au premier semestre 2003. Cette baisse (de 52%) est en partie expliquée par la politique de sécurité acérée des clients Symantec Managed Security Services.
Les attaquants utilisent de plus en plus des vers profitant des vulnérabilités connues pour exploiter de nombreux systèmes ou y créer des failles de sécurité supplémentaires. Ils installent ensuite des chevaux de Troie sur les systèmes contaminés afin de créer de grands réseaux de systèmes contrôlés (bot nets) utilisables pour lancer des attaques futures.
Les 10 principaux « scans » lancés par des pirates, qui leur permettent de repérer des systèmes vulnérables, visaient des services non publics tels que Microsoft SQL et le partage de fichiers. Du fait de l’exploitation de services présent à la fois sur les ordinateurs des particuliers et dans les entreprises, le nombre de victimes potentielles devient nettement plus élevé. Cette tendance renforce l’importance d’étendre les politiques de sécurité au-delà des systèmes informatiques tournés vers le monde extérieur.

Les tendances en matière de vulnérabilités

Symantec a répertorié 1 432 nouvelles vulnérabilités, soit une augmentation de 12% par rapport à l’année précédente, durant la même période.
Le nombre de nouvelles vulnérabilités ‘modérées’ a augmenté de 21% . L’augmentation est de 6% pour les vulnérabilités ‘très graves’. De plus, 80% des vulnérabilités découvertes au cours du premier semestre 2003 permettent d’exploiter un ordinateur à distance.
Symantec indique que 70% des vulnérabilités découvertes au cours du premier semestre 2003 peuvent être facilement exploitées parce qu’aucun code malicieux supplémentaire n’est nécessaire ou parce qu’un programme est déjà disponible. Ce chiffre représente une progression de 10% par rapport aux vulnérabilités découvertes au cours du premier semestre 2002.

Les tendances en matière de codes malicieux

Plus de 994 nouveaux virus et vers Win32 ont été recensés au cours du premier semestre 2003, soit une augmentation de plus de 50% par rapport au premier semestre 2002 (445 recensés).
Les messageries instantanées et applications peer-to-peer, dont l’usage ne cesse d’augmenter, sont de plus en plus utilisées par les nouveaux vers et virus comme mécanismes de propagation. Sur les 50 principales soumissions de codes malicieux au cours du premier semestre 2003, 19 utilisaient des applications peer-to-peer ou des messageries instantanées, soit une progression de près de 400% en un an.
Les soumissions de codes malicieux incluant un cheval de Troie ont augmenté de près de 50%, passant de 11 à 17 pour le premier semestre 2003. L’exemple marquant sur cette période étant Bugbear.B qui tente de voler des données confidentielles. La découverte de cette variante suscite de grandes inquiétudes car elle vise tout particulièrement les institutions bancaires.

Recommandations

Symantec recommande aux utilisateurs et aux administrateurs de suivre les conseils suivants afin de mieux protéger leur information :

- Désactiver et supprimer les services inutilisés.

- S’assurer que les correctifs sont installés, en particulier sur les ordinateurs hébergeant des services publics et accessibles au travers du pare-feu (HTTP, FTP, courrier électronique, services DNS…).

- Mettre en place une politique de mot de passe.

- Configurer les serveurs de courrier électronique de sorte qu’ils bloquent ou détruisent les courriers contenant des pièces jointes fréquemment utilisées pour propager des virus (fichiers .vbs, .bat, .exe, .pif et .scr).

- Isoler rapidement les ordinateurs infectés afin d’éviter de contaminer le reste du système.. Procéder à une analyse approfondie et restaurer les ordinateurs à l’aide de supports sûrs.

- Encourager les employés à ne pas ouvrir les pièces jointes qu’ils n’attendent pas ou de ne pas exécuter des logiciels téléchargés depuis Internet sans les avoir préalablement soumis à une analyse antivirus.

- Veiller à mettre en place des procédures de réponse d’urgence.

- Tester la sécurité pour vérifier que les contrôles en place sont adéquats.