www.microsoft.com/sir

Rapport sur les données de sécurité

Microsoft

Volume 13

JANVIER-JUIN 2012

PRINCIPAUX RÉSULTATS

JANVIER–JUIN 2012 3

Rapport sur les données de sécurité Microsoft Ce document est fourni à titre informatif uniquement. MICROSOFT N'APPORTE

AUCUNE GARANTIE, EXPRESSE, IMPLICITE OU LÉGALE, QUANT AUX

INFORMATIONS CONTENUES DANS CE DOCUMENT.

Ce document est fourni « en l'état ». Les informations et les avis qu'il contient,

y compris les URL et autres références à des sites Web Internet, pourront faire

l'objet de modifications sans préavis. Vous assumez tous les risques liés à son

utilisation.

Copyright © 2012 Microsoft Corporation. Tous droits réservés.

Les noms de produits et de sociétés réels mentionnés dans ce document sont

des marques de leurs propriétaires respectifs.

4 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

Rapport sur les données de sécurité Microsoft, volume 13

Le volume 13 du rapport sur les données de sécurité Microsoft® (SIRv13) fournit un

aperçu précis des vulnérabilités et attaques logicielles, sur les menaces des codes

malveillants et sur les logiciels potentiellement indésirables de Microsoft et de

tiers. Microsoft a élaboré cet aperçu sur la base d'analyses de tendances détaillées

réalisées au cours des dernières années, avec un intérêt particulier pour le premier

semestre de 2012.

Ce document résume les principaux résultats du rapport.Le rapportcomplet

comprend également une analyse détaillée des tendances observées dans plus de

100 pays/régions du monde et propose des pistes de gestion des risques menaçant

votre organisation, vos logiciels et votre personnel.

Vous pouvez télécharger le rapport complet à l'adresse suivante :

www.microsoft.com/sir.

JANVIER–JUIN 2012 5

Évaluation des menaces à l'échelle internationale

Vulnérabilités

Les vulnérabilités sont définies comme les points faibles d'un logiciel permettant à

une personne mal intentionnée de compromettre l'intégrité, la disponibilité ou la

confidentialité de ce logiciel ou des données qu'il traite. Dans le pire des cas, elle

peut aller jusqu'à permettre aux personnes mal intentionnées d'exploiter le

système compromis afin d'exécuter du code malveillant, sans que l'utilisateur ne

s'en rende compte.

1Figure 1. Tendances concernant la gravité des vulnérabilités (CVE), la complexité des vulnérabilités, les

divulgations par le fournisseur et les divulgations par type, pour l'ensemble du secteur des logiciels,

2S09-1S12

1 La nomenclature utilisée dans ce rapport pour désigner différentes périodes de référence correspond au format nSAA, où nS se rapporte à la première (1) ou seconde (2) moitié de l'année, et où AA représente l'année. Par exemple, 2S09 représente la période couvrant le deuxième semestre 2009 (du 1er juillet au 31 décembre) et 1S12 désigne la période couvrant le premier semestre de 2012 (du 1er janvier au 30 juin).

6 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

Les divulgations de vulnérabilités dans tout le secteur au 1S12 étaient

supérieures de 11,3 % par rapport au 2S11 et de 4,8 % par rapport au 1S11.

Cette augmentation inverse une tendance à la baisse faible enregistrée à

chaque semestre depuis le 2S09 jusqu'au 2S11. La majeure partie de cette

augmentation est imputable à des vulnérabilités au niveau des applications,

tandis que les vulnérabilités au niveau des systèmes d'exploitation poursuivent

leur phase descendante.

Codes malveillants

Un code malveillant est un code qui profite de vulnérabilités logicielles afin

d'infecter, de perturber ou de prendre le contrôle d'un ordinateur sans le

consentement de l'utilisateur et, en général, sans même qu'il en soit conscient.

Les codes malveillants visent des vulnérabilités dans des systèmes d'exploitation,

des navigateurs Web, des applications ou des composants logiciels installés sur

l'ordinateur. Pour plus d’informations, téléchargez le volume 13 du rapport sur les

données de sécurité Microsoft dans son intégralité depuis le site

www.microsoft.com/sir.

La figure 2 illustre la présence de différents types de codes malveillants détectés

par les produits anti-programmes malveillants de Microsoft chaque trimestre du

1T11 au 2T12 par nombre d'ordinateurs uniques affectés.

JANVIER–JUIN 2012 7

Figure 2. Ordinateurs uniques signalant différents types de codes malveillants, 1T11-2T12

Le nombre d'ordinateurs signalant la présence de codes malveillants

acheminés via HTML ou JavaScript est resté élevé au cours du premier

semestre de 2012 ; cette tendance était principalement à imputer à la présence

de Blacole, la famille de codes malveillants la plus couramment détectée au

premier semestre 2012.

Le nombre de codes malveillants Java, le deuxième type de codes malveillants

le plus couramment détecté au 1S12, a augmenté au cours de cette période ;

cet accroissement est du à une détection supérieure de codes malveillants

pour CVE-2012-0507 et CVE-2011-3544.

Les codes malveillants qui ciblent les vulnérabilités des lecteurs et éditeurs de

documents arrivaient en troisième position des types de codes malveillants

les plus souvent détectés au cours du 1S12, principalement en raison de

détections de codes malveillants qui ciblent des versions plus anciennes

d'Adobe Reader.

8 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

Familles de codes malveillants

La figure 3 reprend les familles d'éléments apparentés aux codes malveillants les

plus détectées au cours du premier semestre de 2012.

Figure 3 Familles de codes malveillants les plus détectées par les produits anti-programmes malveillants

de Microsoft au 1S12, par nombre d'ordinateurs uniques ; les nombres de détections sont foncés selon

leur présence relative.

Familles de codes malveillants

Plateforme ou technologie

3T11 4T11 1T12 2T12

Blacole HTML/JavaScript 1 054 045 2 535 171 3 154 826 2 793 451

CVE-2012-0507* Java – – 205 613 1 494 074

Win32/Pdfjsc Documents 491 036 921 325 1 430 448 1 217 348

IFrame malveillant HTML/JavaScript 1 610 177 1 191 316 950 347 812 470

CVE-2010-0840* Java 1 527 000 1 446 271 1 254 553 810 254

CVE-2011-3544 Java – 331 231 1 358 266 803 053

CVE-2010-2568 (MS10-046)

Système d'exploitation

517 322 656 922 726 797 783 013

JS/Phoex Java – – 274 811 232 773

CVE-2008-5353 Java 335 259 537 807 295 515 215 593

ShellCode Shell code 71 729 112 399 105 479 145 352 * Cette vulnérabilité est également utilisée par le kit Blacole ; les totaux présentés ici pour cette vulnérabilité excluent les détections de Blacole.

Blacole, une famille de codes malveillants utilisée par le kit de codes

malveillants « Blackhole » pour propager des programmes malveillants par le

biais de pages Web infectées, était la famille de codes malveillants la plus

couramment détectée au cours du premier semestre de 2012. Les personnes

malveillantes potentielles achètent ou louent le kit Blacole sur des forums de

pirates informatiques et par le biais de sources illégales. Il s'agit d'un ensemble

de pages Web malveillantes contenant des codes malveillants visant des

vulnérabilités au niveau des versions d'Adobe Flash Player, Adobe Reader,

Microsoft Data Access Components (MDAC), l'environnement d’exécution

Java (JRE) d'Oracle, ainsi que d'autres produits et composants populaires.

Lorsque la personne malveillante installe le kit Blacole sur un serveur Web

malveillant ou compromis, les visiteurs qui n'ont pas installé les mises à jour

de sécurité appropriées risquent d'être infectés par une attaque via des

téléchargements intempestifs.

JANVIER–JUIN 2012 9

Programmes malveillants et potentiellement indésirables

Sauf spécification contraire, les informations de cette section ont été compilées à

partir de données de télémesure générées à partir de plus de 600 millions

d'ordinateurs dans le monde et plusieurs des services en ligne les plus sollicités

sur Internet. Les taux d'infection sont indiqués à l'aide d'une unité appelée

« ordinateurs nettoyés pour mille exécutions » (Computers Cleaned per Mille,

CCM) et représentent le nombre d'ordinateurs signalés comme étant nettoyés au

cours d'un trimestre toutes les 1 000 exécutions de l'outil de suppression des

programmes malveillants de Windows®, disponible via Microsoft Update et le site

Web du Centre de sécurité Microsoft.

Pour fournir un aperçu global des modèles d'infection, la figure 4 indique les taux

d'infection dans le monde à l'aide de l'unité CCM. Le nombre de détections et de

suppressions dans les différents pays/régions peut varier fortement d'un trimestre

à l'autre.

Figure 4. Taux d'infection par pays/région au 2T12, par CCM

10 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

Figure 5. Taux d'infection (CCM) par système d'exploitation et Service Pack au 2T12

« 32 »= version 32 bits ; « 64 » = version 64 bits. SP = Service Pack. RTM = release to manufacturing

(version finale). Systèmes d'exploitation enregistrant au moins 0,1 % d'exécutions de l'outil de

suppressions des programmes malveillants au total au 2T12.

Ces données sont normalisées : le taux d'infection pour chaque version de

Windows est calculé en comparant un nombre égal d'ordinateurs par version

(par exemple, 1 000 ordinateurs Windows XP SP3 par rapport à

1 000 ordinateurs Windows 7 RTM).

JANVIER–JUIN 2012 11

Familles de menaces

Figure 6. Tendances en matière de détection pour certaines familles importantes, du 3T11 au 2T12

Les deux détections génériques Win32/Keygen et Win32/Autorun étaient

respectivement les première et deuxième familles les plus couramment

détectées au 1S12. Keygen est une détection générique pour les outils qui

génèrent des clés pour des versions de différents produits logiciels obtenus

illégalement.

Autorun est une détection générique pour les vers qui se répandent entre

des volumes montés à l'aide de la fonction Autorun de Windows.

Des modifications récentes au niveau de cette fonctionnalité dans

Windows XP et Windows Vista ont rendu cette technique moins efficace,

mais les personnes malveillantes continuent de diffuser des programmes

malveillants qui essaient de cibler cette fonction.

Les détections de la famille générique JS/IframeRef ont plus que doublé entre

le 1T12 et le 2T12 après plusieurs trimestres de baisse modérée. IframeRef est

une détection générique des balises de cadre en ligne (IFrame) HTML

spécialement formées qui visent des sites Web contenant du code malveillant.

12 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

Menaces pour les particuliers et les entreprises

La comparaison des menaces rencontrées par les ordinateurs appartenant ou non

à un domaine peut fournir un aperçu des différentes méthodes qu'utilisent les

personnes mal intentionnées pour cibler les entreprises et les particuliers.

Cette comparaison permet également de savoir quelles sont les menaces les

plus susceptibles d'aboutir dans chaque environnement.

Cinq familles sont présentes sur les deux listes, notamment les familles

génériques Win32/Keygen et Win32/Autorun , ainsi que la famille de codes

malveillants Blacole.

Parmi les familles beaucoup plus répandues sur les ordinateurs appartenant

à un domaine pendant au moins un trimestre figurent la famille générique

JS/IframeRef et la famille de vers Win32/Conficker.

Parmi les familles beaucoup plus présentes sur les ordinateurs n'appartenant

pas à un domaine figurent Keygen et les familles de logiciels publicitaires

JS/Pornpop et Win32/Hotbar.

JANVIER–JUIN 2012 13

Utilisation de Windows Update et de Microsoft Update

Figure 7. Ordinateurs Windows mis à jour par Windows Update et Microsoft Update, à l'échelle

internationale, 2008–2012

La figure 7 montre l'augmentation du nombre d'ordinateurs mis à jour par

Windows Update et Microsoft Update à l'échelle internationale au cours des

quatre dernières années ; l'indexation est effectuée selon l'utilisation

exhaustive des deux services en 2008.

Depuis 2008, l'utilisation mondiale de Windows Update et Microsoft Update

a augmenté de 60 %. La quasi totalité de cette croissance est imputable à

l'utilisation accrue de Microsoft Update, laquelle s'élevait à 53 points de

pourcentage entre 2008 et 2012 par rapport aux 6 points de pourcentage

pour Windows Update.

14 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

Windows Update fournit des mises à jour pour les composants Windows

et les pilotes de périphériques Microsoft, ainsi que d'autres fournisseurs de

matériel. Windows Update diffuse également les mises à jour de signature

pour les produits anti-programmes malveillants de Microsoft et la publication

mensuelle de l'outil de suppression des logiciels malveillants. Par défaut,

lorsqu'un utilisateur active la mise à jour automatique, le client de mise à

jour se connecte automatiquement au service Windows Update pour les mises

à jour.

Microsoft Update fournit toutes les mises à jour proposées par Windows

Update, ainsi que des mises à jour pour d'autres logiciels Microsoft, comme le

système Microsoft Office, Microsoft SQL Server et Microsoft Exchange Server.

Les utilisateurs peuvent s'inscrire à ce service en installant les logiciels

entretenus via Microsoft Update ou sur le site Web de Microsoft Update

(update.microsoft.com/microsoftupdate). Microsoft recommande aux

utilisateurs de configurer leurs ordinateurs pour que ces derniers utilisent

Microsoft Update plutôt que Windows Update afin d'être sûrs de recevoir

des mises à jour de sécurité opportunes pour des produits Microsoft.

JANVIER–JUIN 2012 15

Menaces liées au courrier électronique

Courrier indésirable bloqué

Les informations présentes dans cette section du rapport sur les données de sécurité

Microsoft sont compilées à partir de données de télémesure fournies par Microsoft

Exchange Online Protection, qui offre des services de filtrage de courrier

indésirable, de courrier d'hameçonnage et de programmes malveillants pour des

milliers de clients d'entreprises Microsoft qui traitent des dizaines de milliards de

messages tous les mois.

Figure 8. Messages bloqués par Exchange Online Protection, Juillet 2011-Juin 2012

Les volumes de courrier bloqués au 1S12 correspondaient à ceux du 2S11 ;

ces quantités sont restées bien en deçà des niveaux constatés auparavant à la

fin de l'année 2010. La baisse significative de courrier indésirable enregistrée

au cours des trois derniers semestres s'est produite à la suite de mises hors

service de plusieurs botnets de grande envergure émetteurs de courrier

indésirable, tels que Cutwail (août 2010) et Rustock (mars 2011).

16 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

Figure 9. Messages bloqués par Exchange Online Protection à chaque semestre, 2S08–1S12

Figure 10. Messages entrants bloqués par les filtres Exchange Online Protection au 1S12, par catégorie

Les filtres de contenu FOPE permettent d'identifier plusieurs types courants

de courrier indésirable. La figure 10 illustre la présence relative de ces types

de courrier indésirable détectés au 1S12.

JANVIER–JUIN 2012 17

Sites Web malveillants

Les sites d'hameçonnage sont hébergés dans le monde entier sur des sites

d'hébergement gratuits, sur des serveurs Web compromis et dans de nombreux

autres contextes.

Figure 11. Sites d'hameçonnage pour 1 000 hôtes Internet dans différentes régions du monde au 2S12

Les États-Unis (où se trouvent le plus grand nombre d'hôtes) disposent également

d'un grand nombre de sites d'hameçonnage (2,9 pour 1 000 hôtes Internet au

2S12) ; la Chine arrive en deuxième position et compte un nombre nettement

moins important de sites d'hameçonnage (0,6 pour 1 000 hôtes Internet).

Figure 12. Sites de distribution de programmes malveillants pour 1 000 hôtes Internet dans différentes

régions du monde au 2T12

18 RAPPORT SUR LES DONNÉES DE SÉCURITÉ MICROSOFT, VOLUME 13

Un site de téléchargements intempestifs automatiques est un site Web qui héberge un

ou plusieurs codes malveillants ciblant les vulnérabilités de navigateurs Web et de

modules complémentaires de navigateurs. Les ordinateurs vulnérables peuvent

être infectés par un programme malveillant après une simple visite d'un tel site

Web, sans même que l'utilisateur tente de télécharger quoi que ce soit.

Figure 13. Pages de téléchargements intempestifs automatiques indexées par Bing.com à la fin du 2T12,

pour 1 000 URL dans chaque pays/région

Ce document résume les principaux résultats du rapport.Le rapportcomplet

comprend également une analyse détaillée des tendances observées dans plus de

100 pays/régions du monde et propose des pistes de gestion des risques menaçant

votre organisation, vos logiciels et votre personnel.

Vous pouvez télécharger le rapport complet à l'adresse suivante :

www.microsoft.com/sir.

One Microsoft Way

Redmond, WA 98052-6399

microsoft.com/security