Microsoft dévoile aujourd’hui la 12ème édition de son Security Intelligence Report (SIRv12). Ce nouveau rapport révèle la vivacité du ver Conficker, détecté près de 220 millions de fois dans le monde au cours des 30 derniers mois, ce qui en fait l’une des menaces les plus persistantes pour les entreprises.

L’étude souligne également les raisons de la propagation du ver liées principalement à la faiblesse ou l’usurpation de mots de passe. Elle met également en lumière des vulnérabilités pour lesquelles une mise à jour de sécurité existe pourtant déjà.

Un paysage de menaces en mouvement : les cybercriminels s’appuient sur des attaques à la fois généralisées mais également ciblées vers des entreprises et individus définis.

« Conficker reste l’un des problèmes majeur de sécurité que nous rencontrons aujourd’hui, alors que nous avons tous les atouts en main pour le contrecarrer », confie Bernard Ourghanlian, Directeur Technique et Sécurité chez Microsoft France. « Conficker montre ainsi combien la technologie seule ne peut constituer une réponse aux défis posés en matière de sécurité informatique. Il est essentiel que les différentes parties prenantes agissent ensemble. Les organisations en particulier doivent accentuer leurs efforts sur la mise à jour régulière et permanente de leurs systèmes et sur la rigueur de la gestion de leurs mots de passe afin de se protéger contre les menaces les plus courantes. »

Des attaques en baisse en France

Bien qu’ayant enregistré une baisse de 10% au 4ème trimestre, la France reste particulièrement touchée par les Adware* à 53% contre une moyenne mondiale de 37%. Néanmoins, la bonne élève de l’Europe en matière de sécurité a connu une baisse du taux d’infections entre le premier et le quatrième trimestre de l’année 2011.

Des vecteurs d’infections bien connus et qui peuvent être stoppés

Microsoft recommande aux particuliers et aux entreprises françaises de suivre les principes de sécurité suivants pour assurer leur protection :

Evolution des logiciels malveillants et potentiellement dangereux en France en 2011

• Utilisation de mots de passe forts** et sensibilisation des collaborateurs à leur importance

• Maintien des systèmes à jour en appliquant régulièrement les mises à jour disponibles pour l’ensemble des produits

• Utilisation d’un logiciel antivirus de confiance

• Investissement dans les produits les plus récents afin de bénéficier d’une protection logicielle de qualité

• Envisager le Cloud comme une solution d’hébergement bénéficiant d’une gestion efficace de la sécurité

Le rapport SIR de Microsoft révèle également que bien des menaces, connues sous le nom de « menaces persistantes avancées », ou APT (Advanced Persistent Threats), ne sont généralement pas aussi évoluées qu’elles le paraissent. Dans la plupart des cas, ces attaques passent par des vecteurs d’infection bien connus (mots de passe faibles ou usurpés et vulnérabilités pour lesquelles une mise à jour de sécurité a été publiée). Leur réussite tient principalement à une forte volonté de perdurer et de compromettre la cible visée. C’est pour cette raison que Microsoft préfère parler d’attaques ciblées menées par des adversaires déterminés.

Evolution du ver Conficker depuis 2009 dans le monde

« Qualifier les menaces informatiques ciblées et persistantes d’« évoluées » peut parfois être trompeur. En général, ces attaques ne s’appuient en effet sur aucune technique ou technologie très évoluée, contrairement à ce que le terme APT pourrait faire croire. Dans la majorité des cas, elles exploitent simplement un mot de passe faible ou usurpé, des vulnérabilités pour lesquelles il existe pourtant une mise à jour de sécurité ou encore l’ingénierie sociale. » précise Bernard Ourghanlian, Directeur Technique et Sécurité chez Microsoft France.

Une approche plus globale de la gestion des risques

Comme l’a souligné Scott Charney, vice-président de Microsoft Trustworthy Computing lors de son discours d’ouverture à la conférence RSA 2012, en février dernier, Microsoft recommande aux entreprises d’adopter une approche plus globale de la gestion des risques. Objectif : mieux lutter contre les attaques ciblées ou à grande échelle et agir aux niveaux suivants :

• Prévention : respect des principes de sécurité fondamentaux et attention particulière à la gestion des configurations et au déploiement régulier des mises à jour de sécurité

• Détection : surveillance attentive et analyses poussées afin d’identifier les menaces. Les entreprises doivent se tenir informées des événements de sécurité et s’appuyer sur des analyses de sécurité dignes de confiance

• Isolation : l’entreprise visée doit configurer son environnement pour faire face à d’éventuelles attaques ciblées menées par des adversaires déterminés. Il est possible d’isoler les activités de l’attaquant afin de prendre le temps d’identifier et de contrecarrer l’attaque pour en minimiser l’impact. Pour isoler une attaque, il convient de concevoir des modèles d’administration du domaine qui préservent les informations d’identification de l’administrateur et d’appliquer les technologies disponibles (comme le chiffrement IPsec du réseau) de manière à limiter toute interconnexion inutile sur le réseau.

• Récupération : Il est important de disposer d’un plan de récupération réfléchi, accompagné de processus de réponse aux incidents bien adaptés. L’entité visée doit réunir un « comité de crise » pour définir les priorités d’intervention et tester la capacité de l’entreprise à se rétablir après plusieurs scénarios d’attaques différents.