Security Intelligence Report : les applications, ce nid de vulnérabilités

Microsoft vient de dévoiler la 8ème édition de son rapport de sécurité semestriel Security Intelligence Report qui permet d’avoir un panorama des tendances des attaques informatiques (période juillet 2009 et décembre 2009).

Inutile de se leurrer : la cyber-criminalité organisée poursuit son expansion et les techniques sont de plus en plus sophistiquées (faux anti-virus, botnets ou réseau de PC zombies, manipulations par voie de phishing…).

Commençons par les bonnes nouvelles. Le nombre total de vulnérabilités, tous fournisseurs d’applications confondues, continue de baisser : -8,4% entre le premier et le second semestre 2009. Cela représente encore un volume de 2 500 failles (contre 3 500 au deuxième semestre 2008).

Selon Microsoft, qui s’appuie sur les multiples rapports de sa batterie d’outils de sécurité IT pour alimenter son rapport SIR, on observe que la Chine et le Brésil ont réalisé un effort conséquent en termes de nombre d’ordinateurs nettoyés : respectivement +19,1% et 15,8%. Microsoft corrèle cette amélioration avec la sortie de Microsoft Security Essentials en septembre 2009.

Ces deux pays ont adopté la nouvelle solution anti-virus gratuite de Microsoft très tôt… Vu sous l’angle d’une répartition géographique, il existe encore des zones rouges très préoccupantes en termes de sécurité IT : Afrique centrale, Turquie (20 systèmes infectés sur 1000), Brésil (18), Espagne (17,1)…

L’analyse devient plus aiguisée : « Avant, on pouvait faire correspondre le taux de malwares en fonction du niveau de développement économique des pays. Ce n’est plus tout à fait le cas », constate Bernard Ourghanlian, Directeur de la sécurité et des technologies chez Microsoft France, lors d’un point presse le vendredi 23 avril.

Autre constant sans appel : environ 90 % des vulnérabilités divulguées au 2ème semestre 2009 concernent les applications. Les niveaux des failles portant sur les systèmes d’exploitation et les navigateurs seraient stables. Souvent décrié pour ses lacunes en termes de sécurité IT, Microsoft organise sa défense : « pendant les 4 dernières années, les divulgations de vulnérabilités concernant Microsoft ont représenté de manière continue entre 3 et 5% du nombre total de vulnérabilités divulguées pour l’ensemble des fournisseurs. »

Sur le front de l’évolution des menaces, Microsoft considère que le phénomène le plus inquiétant porte sur les logiciels de sécurité factices : imitation de programmes de sécurité légitimes en offrant une soi-disant protection contre les malwares, attaques via des services packs ou des mises à jour logicielles…

Les techniques d’ingénierie sociale prennent aussi du poids : ils visent à tromper les internautes sur des réseaux sociaux comme Facebook (comme le récent cas de la fausse offre alléchante d’Ikea).

Les exploits ciblant notamment les formats de fichiers Microsoft Office et Adobe PDF restent aussi préoccupants. Autant d’applications sur lesquelles il est important de veiller aux correctifs. On pourrait également citer le cas de Flash et son média player pour la consultation des vidéos sur Internet.
Sur le front des menaces par courrier électronique, la propagation des cas de phishing reste en tête des alertes.

En s’appuyant sur une récente étude de KPMG ( « An Inconvenient Reality« ), Microsoft s’inquiète également du développement des réseaux de botnets et de la contrefaçon de logiciels.