En 2013, Microsoft prévoit un renforcement des chevaux de Troie

Il est de tradition, à la fin d’une année, d’établir des tendances pour l’année suivante, en particulier dans le domaine de la sécurité. Microsoft y va de ses propres prédictions et note que les menaces vont à nouveau évoluer.

Tim Rains, directeur du groupe Trustworthy Computing chez Microsoft, a publié un billet sur le blog de l’éditeur pour exposer certaines théories sur l’évolution des menaces informations. Comme l’explique le responsable, il s’agit de réflexions basées sur les derniers mouvements dans ce domaine et elles couvrent aussi bien les attaques directes que les conséquences à moyen terme du renforcement des mécanismes de sécurité.

La diffusion des techniques utilisées dans l'espionnage

La première tendance est probablement la plus inquiétante : les conséquences involontaires de certaines techniques d’espionnage sur les prochaines générations de malwares. Le cas cité est connu : Stuxnet, un malware créé pour impacter le programme nucléaire iranien. Tim Rains table sur un nombre croissant de débordements qui permettront à des malwares plus généralistes d’hériter de techniques de haut niveau et financées par des pays.

Le responsable donne un exemple : la faille CVE-2010-2568 du Windows Shell sur les raccourcis. Microsoft avait détecté qu’un grand nombre d’autres malwares s’étaient adaptés pour utiliser cette faille. Durant la première moitié de l’année 2012, 85 % des exploitations de failles détectées visaient cette brèche en particulier. Pour l’éditeur, il s’agit d’un danger important et il faut s’attendre à que le niveau de sophistication général des malwares augmente en conséquence de l’espionnage.

La recrudescence des chevaux de Troie

Deuxième prédiction : les applications, films et musiques seront de plus en plus souvent utilisés pour transmettre des malwares. La firme a noté une modification dans les préférences des techniques utilisées qui a vu par exemple les vers tomber en désuétude, tout comme les adwares. Place désormais aux chevaux de Troie et à l’ingénierie sociale. Microsoft cite en exemple le malware Unix/Lotoor qui ciblait les utilisateurs d’Android, mais on pourrait parler tout autant du faux antivirus Flashback pour OS X. Trait commun : ces menaces se font passer pour des produits grand public inoffensifs, voire prétendant protéger l’utilisateur.

Tim Rains s’attend particulièrement à voir fleurir de faux générateurs de clés, des applications d’ailleurs très courantes pour les pirates en herbe sur Windows. Il craint en outre que les nouvelles plateformes lancées ces derniers temps ne provoquent une poussée des générateurs frelatés et donne un conseil simple : si la source de l’application n’est pas de confiance, n’installez pas l’application. Enfin, les contenus multimédia devraient être toujours plus touchés par les malwares. Microsoft cite le cas d’ASX/Wimad qui fait partie du Top 10 des menaces dans plusieurs pays.

Exploitations de failles et mises à jour régulières des applications

Troisième prédiction : les attaques de type « drive-by » et « cross-site scripting ». Les premières sont menées depuis des serveurs web contaminés et visant des failles spécifiques dans les navigateurs et les plug-ins qu’ils embarquent, tandis que les secondes passent par l’insertion de code HTML et/ou JavaScript pour distribuer un malware ou voler des informations. Tim Rains estime que ces techniques seront davantage utilisées dans l’année qui vient. Pourtant, et paradoxalement, cette évolution sera entravée par un autre constat.

Quatrième prédiction : les mises à jour régulières des exploitations rendront les exploitations de faille plus difficiles. Il s’agit d’un courant contraire au point précédent mais qui ne règle pas pour autant le problème de fond. Les mises à jour régulières, surtout si elles sont automatisées via un mécanisme interne à l’application, permettent de se débarrasser rapidement des failles de sécurité. Microsoft indique avoir par exemple observé une très nette baisse des exploitations dans le cas de Flash Player depuis qu’Adobe a simplifié le processus de mise à jour. Reste qu’il faudra encore du temps avant que les utilisateurs aient réellement basculé en grande majorité vers des moutures récentes des applications, capables effectivement d’opérer ainsi.

UEFI et Secure Boot : les rootkits tenteront de s'adapter

Cinquième et dernière prédiction : les rootkits vont évoluer pour faire face aux nouveaux mécanismes de sécurité. Tim Rains aborde surtout le cas de l’UEFI et du Secure Boot et à leur diffusion au fur et à mesure que des machines récentes sont achetées (en particulier depuis la sortie de Windows où Secure Boot est activé par défaut). Il s’attend à ce que les créateurs de rootkits s’adaptent pour trouver d’autres méthodes de contamination.