Ready

NextFor What’s

Be

LES NOUVELLES TENDANCES DE LA CYBERCRIMINALITE

Kaspersky Lab dans le monde Un acteur majeur et reconnu dans le

développement de solutions de sécurité informatique – 4ème éditeur mondial d’antivirus

20 ans d’expérience dans le monde de la sécurité et de la recherche de malwares

Plus de 2500 employés, +800 techniciens R&D

BU : corporate, consumer, OEM Un siège social basé à Moscou en Russie 29 bureaux repartis sur l’ensemble des

continents CA : 87 M$ en 2006 (+61%) - 203 M$ en 2007

(+133%) - 370 M$ en 2008 (+83%) - 538 M$ en 2010 (+38%)

Evolution des logiciels malveillants

2 000 000

1 000 000

0

3 000 000

5 000 000

4 000 000

1999 2001 2003 2005 2007 2009 2011

35 000 000

70 000

Collections de menaces en 2009

Nouvelles menaces par jour

67 000 000

Collections de menaces en 2010

1 sur 14

En provenance de téléchargements

Signatures

LES CAUSESCybercriminalité

Démographie + technologie = cybercriminalité► Chiffres clés– Nombre d’internautes en 2007 : 1.000.000.000– Nombre d’internautes en 2010 : +2.000.000.000– Nombre en 2013 : 2.500.000.000 ?– Nombre estimé de pirates 2007 : 1.500.000– Nombre de développeurs Microsoft : 40.000– 36M de netbooks vendus en 2009 – 58M en 2010– 17 milliards de matériels connectés

► En France– 1999 : 3M d’abonnés - 2009 : 29M – 2011 : 38M– 1999 : 209.000 acheteurs en ligne, 2009 – 20M,

2010 – 25M

Nous vivons une époque exponentielle► 1M de domaines déposés tous les

mois► 192M de domaines actifs en 2009► 20.000 sites infectés en 2006► Aujourd’hui 1 site sur 150 est infecté

soit environ 1,3M de sites–+13 000% /2006– 1 page infectée toutes les 5 secondes

► +193% de spam en 2009

2007-2011

► 25.000.000 de nouvelles menaces contre 2.000.000 en 2007 ! (source Kaspersky Lab)

► +66% d’augmentation de logiciels indésirables entre le 1er et 2d semestre 2007 (source Microsoft via Windows Update)

► SPAM ! – 1978 : envoi du 1er spam sur Arpanet par DEC : 400

pers.– 1M/heure soit 80% du trafic selon différentes sources– 3.000 campagnes/jour - 7M emails/campagne – 1M d’adresses = 5$ ! (source Marshal)

– Une histoire sans fin ! Législations disparates !

LES CONSÉQUENCESCybercriminalité

9

Evolution des attaquants

1995-2006 2006 à aujourd’hui

2010 à aujourd’hui

Auteurs « Script-kiddies » Cybercriminels Hacktivistes (?)

But Amusement, défi, vandalisme « gratuit »

Vol, escroquerie…

Sabotage, désinformation…

Motivation

Reconnaissance, défi personnel, autosatisfaction

Argent uniquement

Politique, idéologique

Distribution

Hasard Hasard à ciblé selon compétences

Très ciblé

Moyens Limités Importants (groupes, mafia…)

Considérables (dons, états (?))

Maliciels I love you, Blaster, Slammer…

Kido/confickers, Zeus, Sality…

Stuxnet, DDoS, defacing...

Protection Basique (antivirus temps réels)

Renforcée (suite pare-feu, emails, web…)

Globale (application control, périphériques, contrôle Internet, vulnérabilités…)

Statistiques temps réelkaspersky.com/viruswatch3

Vecteurs infections variés► Vulnérabilités Windows ET éditeurs tiers– PDF– Flash/Shockwave– Quicktime…

► Sites web malicieux► Supports amovibles► Web 2.0 - Réseaux sociaux► Résultats moteurs de recherche (antivirus

factices)► Peer-to-Peer► Spam► …

12

Stats Q3 2011

Plus d'argent que le trafic de drogue► La cybercriminalité rapporte 1 trillion de

dollars par an dont $780M par le spam (source Finjan & Kaspersky)

► 1 seul réseau pirate peut récolter $10.800/j soit 39.4 millions de $/an (source Finjan)

– 17% des Pay-per-click sont générés par des Botnets– 190,000 attaques DDoS ont rapporté $20 million en 2008

► Professionnalisation– Programmeur– Donneur d’ordre– Exécutant

► La crise a aggravé la situation !

14

Pas tous égaux face à la cybercriminalité

L’avenir des hackers ?Les smartphones ?

+472% de malwares sur

Android entre juillet et

novembre 2011…

PLATFORM  :  N modif   N fam      % WinCE     :      81    23    1,80 %SymbOS    :      371   105   8,24 %Python    :     64   6     1,42 %J2ME      :      1632  62    36,26 %Iphone    :      13    3     0,29 %Sgold     :      4     3     0,09 %Android   :      2353  101   52,28 %BlackBerry:     2     2     0,04 % Mobile modifications:       4520Mobile Last month:          866Mobile This month:          469Mobile fam:                 305 15 et 30 nouvelles modifications par jour

LES SOURCES DE REVENUS

Cybercriminalité

Les business des hackers !

– Attaque DDoS (vente d’outils, vente de services « clé en main »)

– Spam (vente d’outils, vente de services « clé en main », vente d’adresse emails…)

– Phishing (kit prêt à l’emploi, réalisation de « campagne », hébergement, spear phishing…)

– Scareware (service de propagation (black SEO (Google Trends), vente du « logiciel », revente de la CB, utilisation ou revente du PC Zombie)

– Botnets : service de propagation, achat/vente de PC infectés– Ransomware : décryptage de données moyennant finance

(Western Union, SMS surtaxé…)– Fraude aux clics (jusqu’à 60.000$/an)– Vente de CB : prix variable selon pays & type de carte– Vente de comptes eBay/Paypal– Vente de comptes Facebook / MSN / Skype– Vente d’objets/comptes de jeux vidéo…– Formation : cours de hacking… etc. etc. etc.

Une imagination sans limites !

ETUDES DE CASCybercriminalité

Infection des postes nomades ► Utilisation personnelle et professionnelle d’une clé USB par l’utilisateur

nomade– Une borne d’impression photos numériques infectée– L’ordinateur infecté d’un ami

• La clé USB est maintenant infectée• Infection automatique par insertion de la clé USB sur poste professionnel

► Utilisation d’un ordinateur portable d’entreprise en déplacement ou en vacances– Accès direct sans filtrage à internet depuis l’hôtel, aéroport etc.– Visite de Youtube et vidéos utilisant du social engineering + sites malicieux– Infection à l’aide d’un site web légitime compromis

► Téléchargement de « cracks » depuis le domicile de l’utilisateur nomade– Sur le poste professionnel – Sur le poste personnel – Infection de la clé USB qui infecte les postes restants à chaque insertion

► Le malware se connecte sans filtrage à Internet et télécharge d’autres malwares (Dropper - vers, trojans, rootkit, bots, etc.) qu’il infecte à la volée…

Propagation en entreprise► Infection distante

– Connexion au réseau de l’entreprise à l’aide du VPN et d’un token pour récupérer un document ou logiciel.

► Infection locale– Notre utilisateur nomade rentre de déplacement / vacances et branche sa

machine infectée au réseau– Accès complet aux machines et partages de l’entreprise.– Le ver (infecté) se copie sur les partages de l’entreprise et ajoute des

autorun.inf et des noms de fichier attrayants et /ou trompeurs (Social Engineering)

– Le virus infecte les setup de diverses applications et les documents web sur les partages

– Une application métier est infectée

► Les utilisateurs lancent l’application métier et infectent les postes avec le virus

► Les utilisateurs sont infectés par le ver (infecté lui aussi) automatiquement à l’accès au partage réseau via l’exécution automatique (autorun.inf)

► De nouveaux partages sont découverts par le ver (partages utilisateurs par exemple) et le virus infecte de nouveaux exécutables et documents web

Propagation en entreprise (Suite)► Les webmasters qui mettent à jour le site Web de l’entreprise

sont infectés et mettent en ligne une version infectée du site web– L’entreprise devient alors vecteur d’infection pour ses

clients et visiteurs

► Les développeurs se font infecter et les applications compilées aussi– Les applications infectées sont testées pour « QA » et

infectent les machines de tests.– Risque de diffusion d’applications infectées (Microsoft,

IBM, Yamaha ont distribué des applications infectées dans le passé) qui peuvent nuire à l’entreprise

► Notre utilisateur mobile pendant ce temps vient d’envoyer un rapport à son manager et utilise sa clé USB pour lui donner des fichiers annexes trop gros– La machine du manager est infectée des l’insertion du

support amovible par le ver présent sur la clé– Le ver propage ainsi le virus sur la machine du manager et

sur les partages réseaux sensibles qu’il utilise pour stocker des documents pour la direction.

– La boucle est bouclée et l’infection remonte jusqu’aux dirigeants

Propagation en entreprise (Suite)► Un administrateur s’infecte en installant une application

récupérée sur les partages ou via exécution automatique (autorun.inf)– Pour simplifier l’administration, les partages administratifs sont

utilisés sur les serveurs.– Afin de simplifier certaines opérations de maintenance, seul le

port 80 est autorisé en sortie– Le virus en mémoire infecte tous les répertoires parcourus par

l’administrateur– Il télécharge de nouveaux malwares : Chevaux de Troie ,

Ransomware etc.

► Les serveurs & postes de l’entreprise & partages réseaux sont infectés

► Les filiales nationales et/ou internationales sont aussi infectées via les liaisons VPN

► Les clés USB, disques durs externes et téléphones portables (branchés comme périphériques de stockage) sont infectés

► Le site Web de l’entreprise est infecté

► Les logiciels développés par l’entreprise sont infectés

Conséquences pour l’entreprise► Un ransomware est finalement exécuté sur le serveur

de fichiers avec les droits administrateur et tous les documents PDF, WORD, EXCEL, code source, etc. présents sont chiffrées et effacés– Le malware débute la tentative d’extorsion et fournit les

informations de paiement pour pouvoir récupérer les fichiers

► Alternative: un cheval de Troie s’empresse d’envoyer les documents trouvés sur un serveur hébergé à l’étranger Fuite d’information confidentielle

► Le site web de l’entreprise infecte les visiteurs► Les logiciels distribués par l’entreprise sont infectés

– Quid de la réputation de l’entreprise – Surcoûts et retards pour l’entreprise : rappels des produits,

etc.

► Le parc de l’entreprise est infecté ainsi que les filiales…

Conclusion► Le virus et le ver du scénario existent vraiment► Chaque élément du scénario est déjà arrivé!► Il est d’une importance capitale de :

– Maintenir la machine à jour, encore plus si elle est nomade !– Utiliser une suite de sécurité et surtout de la maintenir à jour– Utiliser les derniers navigateurs avec leurs MAJ (IE, Firefox, Opera,

Chrome…) et des logiciels alternatifs…– Mettre en place des politiques de sécurité spécifiques pour les

postes nomades – Ne pas utiliser un poste nomade pour administrer les serveurs– Ne pas utiliser les partages administratifs– Désactiver Autoruns sur toutes les machines du Parc– Paramétrer les droits sur les partages (pas de droits d’écriture si les

utilisateurs sont sensés récupérer des setups par exemple)– Contrôler l’accès /surf sur le web via proxy avec authentification ou

via un logiciel installé localement se prémunir des mises des malwares

– Vérifier les sources du site web en cas d’infection globale et régulièrement quand tout va bien

KASPERSKY POUR VOUS PROTÉGER

Cybercriminalité

Kaspersky Endpoint Security 8 pour Windows

► Protection– Signatures antimalwares– Défenses proactives– Kaspersky Security

Network (Cloud)

► Contrôle– Contrôle des applications– Gestion des vulnérabilités– Contrôle des périphériques– Filtrage de contenu Internet

27

Défense contre les menaces d’aujourd’hui et de demain

28

Une console 5 en 1

►Console de sécurité►Console de prise en main à

distance►Console de déploiement►Console de gestion de

vulnérabilités►Console d’inventaires

Caractéristiques de la console 9► Souplesse de l’architecture

– Centralisée ou décentralisée– Locale ou hébergée…

► Console MMC– Utilisation simple et rapide

sous forme arborescente– Gestion par groupes/sous-

groupes– Notion d’héritage– Glisser/déplacer– Copier/coller…– + console Web de supervision

► Déploiement simple– Assistant de démarrage initial– Broadcast réseau– Connecteurs AD– Désinstallation AV

concurrents– Déploiement en masse via

agent(s) relais

– Gestion fine des mises à jour (agents relais, nomades…)

– Gestion des stratégies par produit• Customisation selon les

besoins• Passage automatique

LAN/NomadeRemontée d’informations

• Tableaux de bord dynamiques

• Rapports / Evènements• Requêtes…

– Fonctions ‘périmétriques’• Affichage des applications

installées• Tunneling SSL• Installation d’applications

tierces• Messages pop-up• Affichage des adresses IP

– Tâche de sauvegarde...

Merci !sebastien.borras@kaspersky.fr