IronPort reste préoccupé par l’évolution du spam et des virus

Cloud

En dressant un bilan 2006, l’éditeur de passerelles de sécurité pour le mail
présente les dernières tendances liées aux menaces sur Internet.

Juste avant l’annonce du rapprochement entre Cisco et IronPort Systems, l’éditeur de solutions de passerelles de sécurité Internet avait dévoilé le bilan des menaces Internet observées à travers son Threat Operation Center (TOC) : spams, virus et spywares en tout genre y sont passé au crible.

Le TOC d’IronPort dresse les grandes lignes de ce que sera 2007 pour les départements sécurité, et le moins que l’on puisse dire, c’est que l’année ne sera pas de tout repos pour les hommes comme pour les infrastructures. IronPort confirme la tendance générale de la part massive du spam dans le trafic mondial des mails (un ratio de neuf sur dix) et plus exactement de sa déclinaison spam image.

Alors qu’un spam texte pèse 3 Ko, un spam image en pèse près de 30 Ko, soit une surcharge dix fois supérieure pour les systèmes en place. L’évolution manifeste du spam s’explique en partie par le changement de système dans lequel il s’inscrit. Avant, les spammeurs étaient payés en fonction du nombre de retour sur clics, or depuis 2005 et la mise en place d’un système d’affiliation, la facture est établie sur un trafic donné.

Cheminement effrayant du spam

Après investigation, IronPort dresse le portrait et le cheminement d’une seule et même opération de spams : 1,5 milliard de courriers corrompus utilise 100 000 serveurs dans 120 pays différents, et il en résulte plus de 2000 variantes différentes dans les deux semaines suivantes. Il faut cependant avoir à l’esprit que 80 % des spams proviennent de PC infectés malgré des filtres toujours plus nombreux. Ces derniers obligent les spammeurs à une réactivité accrue, particulièrement dans le monde de l’entreprise. Ainsi, le temps entre la création et la suppression d’une URL infectée n’excède pas quelques heures.

Dans la nébuleuse des spams, on trouve également les fameux « call to action » , ceux-ci invitent l’utilisateur à cliquer sur une URL ou une image. Leur part réciproque ont drastiquement changée, ainsi les URL ont diminué de 80 % à 55 % et les images ont explosé en passant de 5% à 23 %, le reste concerne des messages textes classiques.

Les spams les plus répandus sont ceux à caractère pharmaceutique et boursier qui ont triplés en l’espace d’un an, et afin de réussir, chacun dispose de sa méthode propre. On trouve les « pump and dump », des escroqueries concernant la vente d’actions achetées auparavant par le spammeur. En s’appuyant sur une distribution massive, on estime qu’un pourcentage infime d’internaute se laissera abuser mais le profit peut être estimé entre 5 et 6 % pour l’intéressé. De l’autre côté, les drogues et produits illégaux ont trouvé sur le Web leur lieu d’échange de prédilection.

Essor des virus via les macros Excel ou Word

Les virus pour leur part sont de moins en moins nombreux mais bien plus ciblés et sophistiqués. Les URL infectées étant connues et reconnues, les programmeurs s’activent sur le port internet (80) pour éviter le port réseau (20) désormais surprotéger. On note également l’apparition de virus via des macros Excel ou Word. Inexistante en 2005, ils comptabilisent 3% du total des virus en circulation et ce n’est pas sur la bonne voie.

Côté spyware, les trojans et backdoors ont explosé les plafonds avec + 200 % sur l’année. Le constat le plus accablant est le pourcentage de PC d’entreprise infectés, 48 % d’entre eux sont à un moment ou à un autre contaminé par un adware (48%), un trojan (7%) ou des cookies traceurs (77%).

Entre les spams intelligent et les virus polymorphes, l’année 2007 va mettre à rude épreuve les infrastructures.