Pas ou peu de surprises au fil de la lecture du huitième rapport semestriel Microsoft Security Intelligence Report. La fréquence de divulgation des failles est en régression de 8,4% (tous niveaux de dangerosité confondus) soit une baisse de 9% des failles publiées qualifiées de « sévères » ou « critiques ». Les alertes concernant Internet Explorer et autres composants de Windows sont devenues, si l’on considère leur exploitation dans le cadre de malwares de tous types, en net retrait comparées aux alarmes provoquées par des programmes tierce partie, notamment Acrobat Reader.
Ainsi, durant toute la période juillet-décembre 2009, le « top ten » des exploits visant Vista et Seven via les navigateurs et leurs accessoires portaient sur deux failles Acrobat (45% des cas via CVE 2009-0927 et 13% des cas CVE-2007-5659), un trou Internet Explorer (CVE2009-0075, 18%), et deux défauts RealPlayer et Quicktime (respectivement CVE 2007-5601 et CVE 2007-0015, gravitant aux environs de 4 à 5% des infections). Tous types de noyaux confondus, XP y compris, la part des attaques browser based est imputable à près de 44% à des fuites Acrobat et à 15,7% au gouffre I.E. CVE 2009-0075 (corrigé par MS 09-002 ). En d’autres termes, 60 % des malwares visant les navigateurs ont exploité majoritairement seulement trois failles majeures.
Le second semestre 2009 a également été marqué par un autre record : celui du plus grand nombre de failles divulguées corrigées depuis le début 2005. 104 CVE colmatées, 47 bulletins de sécurité et leurs correctifs associés, ce qui fait une moyenne de 2,2 bouchons par alerte, en nette diminution, pavoise Microsoft, par rapport à 1H09 qui, avec 85 CVE et 27 bulletins affichait 3,1 rustines par bulletin en moyenne. Ce calcul est fortement biaisé par le fait que les failles I.E. exploitables sont en nette diminution. Or, les correctifs I.E. ont toujours été de véritables « nids à rustines cumulatives », les trous multiples découverts sur un même composant logiciel noyau étant nettement moins courants. Effectuer une moyenne générale des correctifs par alerte n’a donc pour but que de masquer de très forts déséquilibres qui, des années durant, a fait d’I.E. le composant le plus fragile et le plus visé par les attaques de toute la sphère Windows.
Cette remarque est d’ailleurs confirmée par une autre métrique, celle des attaques continuant à viser les anciennes versions du navigateur Microsoft, et plus particulièrement I.E. 6.x. Plus de 55% des attaques exploitant le navigateur visent un composant Microsoft lorsque l’architecture est de type XP (le reste étant une exploitation de logiciels « tierce partie »), contre 24,6 % sous noyau Vista/Seven. L’héritage d’I.E. 6 est encore très lourd à porter.
Si l’on considère l’évolution du nombre des vulnérabilités, tous types confondus, de1H06 à 2H09, il ne fait aucun doute que les programmes applicatifs tierce partie « non Microsoft » constituent le plus grand nombre de menaces (ce qui n’implique pas nécessairement qu’elles soient exploitées). Malgré la baisse de près de 9% des bugs déclarés, énoncée plus avant, les programmes tiers ont compté pour près de 2500 alertes durant le dernier semestre 2009, contre un étiage plus ou moins constant de défauts purement Microsoft se situant en dessous de la limite des 200 failles déclarées.
L’exploitation localisée de ces failles montre d’importantes disparités de traitement selon le pays concerné. Ainsi, dans 50% des attaques, les habitants des USA doivent redouter les chevaux de Troie… tandis qu’au Brésil, ce sont les vers et programmes de récupération de mots de passe. Les vers arrivent en tête également en Espagne et en Corée. En France et en Grande Bretagne, les Troyens frappent le plus souvent, avec une très nette seconde place des adwares au Royaume Uni. En Allemagne, si les Troyens arrivent également en tête, ils sont talonnés par les downloaders et droppers… les usagers Chinois sont, pour leur part, victimes d’une catégorie plus générique et anormalement développée, celle des « logiciels indésirables divers ».
Que visent ces attaques ? Bien sûr les grands « classiques » précédemment énoncés. Mais les failles les plus fraîches ne font pas nécessairement les virus les plus dangereux. 55% des attaques effectuées à l’aide de « boîtes à outils » à malwares sont orchestrées pour violer des systèmes XP. 45% de ces « anti XP » visent d’ailleurs spécifiquement des logiciels ou des éléments de logiciels non-Microsoft… proportion qui grimpe à 75% lorsque la cible est Windows 7 (attaques Web visant des logiciels tiers installés sur le poste client). Ces fameuses attaques contre des programmes réputés fragiles a d’ailleurs adapté le comportement des attaquants. Constatant le succès des attaques contre ces logiciels tiers (Adobe, Real etc), le nombre de charges utiles intégrées par les virus toolkits a fortement diminué, pour atteindre un étiage de 2,3 « payload » par virus. Chiffre qui n’exclut pas certaines émergences exceptionnelles, tel qu’un vecteur d’infection découvert par Microsoft et contenant 35 exploits différents. Cette tendance risque de perdurer encore quelques temps : tant que le parc des systèmes accessibles sur Internet comportera une proportion significative de noyaux d’origine Windows XP ou de version non mises à jour de programmes tiers fortement répandus, les noyaux Windows 7 et navigateurs I.E. 8.x resteront relativement à l’abri des attaques. Parfaite illustration de la théorie des « fruits les plus faciles à cueillir ».
Le rapport SIR 2H09 confirme très clairement également la rapidité (l’on pourrait parler de polymorphisme) des attaques spécialisées. L’on se souvient de la course au foisonnement de noms de domaines de Conficker/downadup, l’on peut également mentionner les performances du sinistre toolkit Zeus, qui a généré plus de 90 000 variantes de malware pour mieux masquer ses vecteurs d’attaque. Face à une telle avalanche de signatures, il devient de plus en plus difficile pour les programmes de protection périmétrique de se mettre à jour rapidement et parer à ces menaces en perpétuel changement.