2012: l'année des logiciels malveillants multifonctions

Des logiciels malveillants conçus pour cibler et prendre le contrôle de comptes bancaires pourraient être modifiés pour s'adapter à des périmètres plus larges, selon Trusteer. Les codes de Zeus et de SpyEye, désormais accessibles au public, peuvent être manipulés pour mettre en oeuvre des attaques ciblées encore plus sophistiquées contre des entreprises. «Au cours des douze prochains mois, il faudra faire face à des attaques provenant de diverses sources, du fait de l'arrivée dans le commerce de virus à vocation financière, de technologies utilisées pour les APT, de produits dérivés du code de Zeus et de nombreux kits de développement de logiciels malveillants,» explique Amit Klein, directeur technique de Trusteer, dans ses prédictions pour la nouvelle année.

Le fléau des sites légitimes compromis continuera d'alimenter l'augmentation des attaques en 2012, selon Solera Networks. Avec notamment des attaques très médiatisées, menées par des groupes d'hactivistes. Lesquels ont déjà démontré que même les plus grandes entreprises peinent à maîtriser les vulnérabilités de leurs systèmes et prêtent le flanc aux cybercriminels en leur offrant une porte sur leurs systèmes sensibles. Andrew Brandt, directeur de la recherche sur les menaces de Solera, exhorte les utilisateurs de Firefox à bien prendre soin de mettre à jour leurs plug-ins et d'installer NoScript pour empêcher les attaques de type drive-by utilisant du code JavaScript malveillant.

"Pour autant que je puisse dire, c'est la seule méthode infaillible de prévenir l'infection accidentelle d'un PC sous Windows par des pages Web compromises», a écrit Brandt dans le blog Solera. «Tout commence avec un petit bout de code Javascript bien dissimulé. Et cela se termine en quelques minutes avec la prise de contrôle du PC de la victime et le vol de ses mots de passe."

Brandt souligne également la responsabilité des extensions pour le CMS Wordpress, dont certaines sont vulnérables. Des vulnérabilités qui permettent aux auteurs de programmes malveillants de télécharger leur code sur les pages Web concernées. Jusqu'à en faire des keyloggers pour les visiteurs du blog. "La plupart du code que nous avons vu téléchargé sur des sites légitimes redirige le navigateur dans la gueule de l'un ou l'autre des kits d'exploit", écrit Brandt.

Faiblesses de la sécurité matérielle

Parallèlement, McAfee prédit un pic d'attaques qui exploitent du matériel embarqué ou visent le MBR d'un disque dur pour contourner les technologies de sécurité traditionnelles. "Nous nous attendons à voir davantage d'efforts pour exploiter des failles matérielles et du firmware tout au long de 2012 et au-delà", indique McAfee, envisageant ainsi des menaces qui quittent le simple domaine du virtuel pour toucher au réel, au physique.

Dans ses prédictions pour 2012, McAfee, avertit des risques qui, selon lui, pèsent sur les systèmes embarqués qui animent boîtiers GPS, distributeurs automatiques, appareils médicaux, etc. Pour lui, «le contrôle du matériel est la terre promise des attaquants les plus talentueux. S'ils peuvent insérer du code qui modifie l'ordre de démarrage ou l'ordre de chargement du système d'exploitation, ils pourront mieux contrôler l'ensemble et maintenir à long terme l'accès au système et à ses données."

La prédiction de McAfee est appuyée par les travaux de chercheurs de l'Université de Columbia, qui ont montré récemment comment des vulnérabilités d'imprimantes HP pouvaient être utilisées par les cybercriminels.

Michael Sutton, vice-président de la recherche sur la sécurité chez Zscaler Inc, estime pour sa part qu'un développement des menaces basées sur le matériel pourrait pousser les fournisseurs d'équipements à faire plus d'efforts sur la sécurité et à prendre plus au sérieux la divulgation des vulnérabilités. Lors de Black Hat 2011, Sutton avait axé sa présentation sur les faiblesses des serveurs Web embarqués. «La sécurité dans l'espace matériel a au moins dix ans de retard sur la sécurité dans l'industrie du logiciel», écrit Sutton dans le blog des ThreatLabZ de Zscaler. Pour lui, les constructeurs doivent donc se réveiller.