Que nous apportera 2011 en terme de sécurité IT? Contre quelles menaces devrons-nous nous défendre et quelles seront les tendances? ESET a questionné ses meilleurs spécialistes et chercheurs au niveau mondial, parmi lesquels David Harley, et les collaborateurs de son nouveau centre d’analyse de cyber menaces (Cyber Threat Analysis Center - CTAC) pour avoir les tendances 2011:
- L’équipe du CTAC, basée à San Diego (Californie) est convaincue que les media sociaux seront la cible d’attaques d’engineering social, comme celles déjà rencontrées par les utilisateurs de Facebook et de Google. Elle pense qu’il y aura un nombre croissant d’attaques sur d’autres réseaux sociaux tels que LinkedIn, Orkut et Twitter ainsi que sur d’autres moteurs de recherche tels que Bing et Yahoo. Ce sera certainement le cas si les leaders du marché continuent à prendre des mesures qui augment le coût des attaques d’engineering social sur Facebook et Google. Facebook présente un danger particulier: il peut essayer de continuer à remédier au symptôme plutôt qu’à la maladie en présentant le problème de violation de la vie privée dû au media sociaux comme quelque chose qu’en fait les clients réclament, rendant les clients responsables de la sécurité de leurs données en s’assurant qu’elles ne sont pas partagées d’une façon avec laquelle ils ne seraient pas d’accord si on le leur demandait précisément. Certains sites, comme Bebo par exemple, ont instauré que leurs utilisateurs ne doivent pas tout partager même si partager le plus possible de données clients est un élément fondamental de leur modèle d’entreprise. Sur ce point, Facebook reste équivoque.
- Les appareils mobiles seront encore plus la cible d‘attaques: les marques qui sont protégées en n’acceptant que les applications approuvées seront nettement moins vulnérables aux attaques de malware, mais il faut s’attendre à ce que les attaques d’engineering social continuent.
- Alors que les botnets sont loin d’être nouveaux, ils continueront à croître de manière significative au cours de 2011: les données Shadowserver suggèrent une croissance continue du volume de botnets alors que les données ThreatSense.Net suggèrent une croissance comparable du volume de malware et indiquent que les PC zombies constitueront la plus grande partie de tous les systèmes infectés. On s’attend également, suite à la prédominance en 2010 des botnets contrôlés par Twitter, à ce que les créateurs de bots expérimentent de nouveaux canaux de commande et de contrôle. La bonne nouvelle c’est que les récents succès de démontage de botnets devraient continuer et même probablement croître. L’équipe du centre d’analyse de cyber menaces d’ESET est également convaincue que les botnets continueront à être un problème majeur mais elle espère que plus de gens se rendront compte que les botnets les plus discrets et les moins spectaculaires, plus petits, posent des problèmes tout aussi importants que les grands noms qui sont suivis de tellement près par les chercheurs en sécurité qu’ils finiront par être abandonnés par leurs créateurs.
- Après Boonana, le sosie de Koobface, qui a le potentiel d’infecter plusieurs systèmes d’exploitation, il est probable que plus de malware utilise des environnements tels que Java pour fonctionner sur de multiples plates-formes. Par exemple les botnets qui comportent des zombies qui fonctionnent tant sur des systèmes d’exploitation Windows que sur des systèmes non Windows.
- BlackHat SEO (Search Engine Optimization), désigné parfois comme empoisonnement d’index ou détournement d’index, n’est absolument pas nouveau. Par contre l’utilisation de media sociaux lui offre des possibilités considérables pour optimiser sa technique dirigeant le trafic des utilisateurs vers des sites malveillants, comme cela a été discuté longuement lors de la conférence Virus Bulletin 2010.
L’équipe du CTAC confirme que l’engineering social continuera à être un des plus importants problèmes et pas seulement dans le contexte du malware. L’essentiel du malware continuera à infecter par les canaux habituels (email, URL malveillant, forum, groupes) en poussant la victime à cliquer sur quelque chose de piégé. Toutefois, il faut s’attendre de temps en temps à des surprises déplaisantes telles que la vulnérabilité .LNK, et ceci probablement encore longtemps après avoir été découvertes par les malfrats. D’autres attaques SCADA de vol de données sont possibles, mais probablement en utilisant le spear-phishing et autre malware d’engineering social plutôt que des attaques 0-day, plutôt des troyens que du malware qui se réplique automatiquement comme Win32/Stuxnet. Il semble que le but principal de Stuxnet ait été le sabotage: les suggestions que le code de Stuxnet puisse être facilement adapté pour attaquer toutes sortes d’installations sont largement surfaites. Il faut s’attendre à ce que le malware pour sabotage reste le sujet de spéculation et de recherches actives. En outre, des outils automatiques pour le ratissage des sites de réseaux sociaux, tout comme des fuites de données, réduiront les coûts de création des attaques de spear-phishing et conduiront à diverses attaques de haut niveau.
Les éditeurs de logiciels de sécurité dans le domaine anti-malware deviendront de plus en plus dépendant de la télémétrie basée cloud pour l’analyse de la réputation et la planification du traitement de malware par la rétro-ingénierie. A l’atelier CARO à Helsinki, en mai 2010, le nombre d’échantillons uniques "connus" de code malveillant était bien supérieur à 40 millions. On prévoit que ce nombre dépassera largement 50 millions au cours de 2011. En fait, ce nombre est probablement très inférieur à la réalité mais faire un comptage précis est un challenge car chaque entreprise compte de façon différente et vérifier les doublons prend aussi du temps.