2020 aura été une année inédite à bien des égards. Le contexte mondial des menaces a été visiblement affecté, les cybercriminels ayant également fait de la COVID-19 un élément central de leurs campagnes d’hameçonnage.
Les logiciels malveillants sur Windows restent prédominants, mais le nombre de menaces visant toutes les plateformes augmente chaque mois. Les malwares sur OSX et Android ont gagné de l’ampleur dans leurs environnements respectifs et ils présentent chacun des catégories de menaces uniques.
Nos cartes des menaces illustrent bien les différences entre les types de malwares. En effet, certains pays et régions sont davantage ciblés que les autres.
Synthèse mondiale de 2020 et comparaison avec 2019
Comparé à 2019, seul le mois d’août 2020 a affiché un volume d’attaques nettement plus bas que l’année dernière. La plus forte augmentation de 2020 a eu lieu au début de l’année, avec un pic visible au mois d’avril. Par ailleurs, les menaces sont reparties de plus belle à partir du mois de septembre. L’épidémie de COVID-19 a certainement été un facteur influant sur les chiffres du début d’année, toutefois l’activité semble s’être stabilisée aux alentours du mois de juin.
Comparé à 2019, le volume de menaces évitées dans le monde a enregistré une progression d’environ 15 %, les premiers mois de l’année 2020 ayant fortement pesé dans cette hausse.
Cette année, nous avons été confrontés à des menaces de logiciels malveillants spécifiques plus nombreuses que jamais.
Notre base de données est passée de 556 millions de menaces en 2019 à environ 652 millions fin 2020, ce qui signifie qu’environ 17 % de toutes les menaces jamais observées par Avira et ses clients sont apparues dans les 12 derniers mois. Bien que cela ne nous indique pas précisément combien de menaces se trouvent dans la nature, ces chiffres montrent clairement que les auteurs de malwares dans le monde entier produisent un flux quasi infini de logiciels malveillants.
Examinons de plus près les types d’attaques qui ont été bloqués par Avira en 2020. Ces données concernent toutes les plateformes (Windows, macOS et Android) et montrent dans quels pays les utilisateurs et les appareils ont été le plus ciblés par des activités malveillantes. Les pays en rouge présentent les taux d’attaques les plus élevés. Plus la couleur est claire, moins les utilisateurs de ce pays ont été visés par des malwares.
Menaces Web
Les URL bloquées et l’hameçonnage constituent la plus grande part de cette catégorie.
Une URL bloquée est l’action réalisée par un antivirus lorsqu’un utilisateur tombe accidentellement sur une page infectée. En général, ces pages d’hameçonnage se font passer pour des services bancaires ou populaires comme PayPal ou eBay. Une fois que l’utilisateur a naïvement saisi son identifiant et son mot de passe, la page le redirige vers la vraie page ebay.com ou paypal.com et l’utilisateur pense alors qu’il a mal saisi ses identifiants. Les comptes sont souvent compromis sans que l’utilisateur s’en aperçoive, ce qui pourrait expliquer que le grand public pense toujours que les achats sur Internet ne sont pas sécurisés.
Cette catégorie dépend largement des campagnes actives d’hameçonnage, comme les e-mails d’hameçonnage qui renvoient l’utilisateur vers de fausses pages de connexion et qui oscillent largement d’une semaine à l’autre.
Menaces Web par pays
Notre carte des menaces est sans équivoque : les pays de l’hémisphère nord sont plus susceptibles de tomber sur des pages Web malveillantes que ceux de l’hémisphère sud. Cela n’empêche pas l’Inde de figurer à nouveau dans les pays les plus ciblés, aux côtés de Singapour, du Danemark et des États-Unis (très grande probabilité d’attaques Web). Viennent ensuite les pays nordiques, les îles britanniques et la Belgique.
Vers le haut du classement, on retrouve ensuite l’Europe centrale avec la région DACH, la France, l’Italie et l’Espagne (niveau de menaces élevé).
Le niveau le plus bas d’URL bloquées a été enregistré en Afrique du Nord et dans la région de l’Asie occidentale (niveau de menaces moyen à faible).
Plus fortes menaces sur Android en 2020
En 2020, on enregistre une hausse de 35 % des détections de malwares bancaires sur Android, une augmentation facilement imputable à l’essor des opérations bancaires sur mobile cette année.
Voici les menaces les plus importantes parmi les malwares sur Android en 2020 :
- Applications en lien avec la COVID-19
Comme nous l’avons dit plus haut, avec le début de la pandémie de COVID-19, les créateurs de malwares ont mis au point toutes sortes de tactiques pour exploiter les peurs et le besoin d’en savoir plus des utilisateurs. En témoigne la variante du cheval de Troie bancaire Cerberus sur Android, que l’on retrouve souvent sous le nom « Corona-Apps.apk » qui utilise des techniques d’hameçonnage et le nom du virus pour inciter les utilisateurs à l’installer sur leurs smartphones.
« Depuis longtemps, les auteurs de malwares utilisent des tactiques psychologiques pour piéger les utilisateurs peu méfiants. Aujourd’hui, de nombreuses personnes cherchent des réponses et s’inquiètent à cause de la COVID-19. Les auteurs de malwares exploitent spécifiquement ces doutes », explique Alexander Vukcevic, directeur du laboratoire de protection d’Avira.
- Stalkerwares
Les applications détectées comme des Stalkerwares (applications d’espionnage que l’on appelle aussi spouseware) font partie de la catégorie des logiciels espions et peuvent compromettre la vie privée des utilisateurs et la sécurité du système local. L’application peut être installée à l’insu du propriétaire de l’appareil ou sans son consentement afin de l’espionner et de surveiller secrètement ses informations personnelles : photos, vidéos, messages, données de localisation.
Face à l’activité accrue des applications Stalkerwares sur Android, Avira a rejoint la Coalition against Stalkerware, afin de combattre cette menace. Vous trouverez des détails sur cette initiative et une analyse d’une application Stalkerware typique dans cet article.
- Chevaux de Troie bancaires sur Android
Les chevaux de Troie bancaires ont toujours été très actifs parmi les logiciels malveillants sur Android et cette année n’a pas fait exception. Outre la tactique consistant à utiliser la COVID-19 comme prétexte, les menaces bancaires ont également suivi leur approche classique : se faire passer pour une application couramment utilisée, demander des autorisations inhabituelles et tenter de dérober des données de cartes bancaires.
Menaces sur Android par pays
La pandémie a amplifié la soif d’informations du grand public, qui est tombé dans le piège de nombreux stratagèmes créés par les auteurs de malwares sur Android. Dans la plupart des cas, il s’agissait d’applications qui prétendent pouvoir dire à l’utilisateur s’il a été contaminé ou non ou qui contiennent simplement les mots-clés de la COVID dans le nom de l’application (corona, covid, etc.).
Sur notre carte du monde, une autre tendance apparaît, différente des années précédentes. Les menaces sur Android ont le plus souvent lieu en Iran, en Algérie, en Inde et au Pakistan (niveau de menaces sur Android très élevé), tandis que les utilisateurs au Japon, au Canada et en Finlande (niveau de menaces sur Android moyen) sont nettement moins exposés aux attaques. Toutefois le volume global d’attaques est plus ou moins le même partout, ce qui signifie que seuls quelques pays présentent un niveau de menace nettement supérieur ou inférieur à la moyenne.
Menaces sur macOS
On pense souvent que le système d’exploitation macOS est immunisé contre les malwares. Il fut un temps où c’était certainement le cas, mais aujourd’hui, en raison du taux d’adoption de macOS, les auteurs de malwares ont depuis longtemps trouvé des moyens de pénétrer les systèmes OSX.
Les logiciels publicitaires et les applications potentiellement indésirables (PUA) représentent plus de la moitié des détections sur macOS cette année.
L’un des moyens les plus faciles de contourner les filtres mis en place par Apple est de faire en sorte que les logiciels aient l’air légitimes, ce qui permet aux auteurs de malwares de gagner de l’argent via des spams publicitaires qui s’affichent sur le système infecté. Outre ces malwares, le système macOS a aussi été la cible de verrouilleurs d’écrans ou de stealers (dérobeurs de données).
Certaines applications malveillantes, distribuées via des packs d’installation, du spam ou de fausses mises à jour d’Adobe Flash Player, présentent plusieurs comportements potentiellement indésirables comme des publicités intrusives ou la modification du moteur de recherche par défaut de l’utilisateur (ce qui peut poser problème pour la confidentialité de l’utilisateur).
Les attaques par scripts ou basées sur Office sont très courantes sur macOS et représentent à elles deux 21,5 % des attaques.
Les attaques par scripts ou basées sur Office sont généralement des infections de première phase, ce qui signifie qu’elles téléchargent la charge utile après avoir réussi à s’infiltrer sur le système.
Menaces sur macOS par pays
Les menaces sur macOS sont totalement différentes de celles observées sur Android, en témoigne la carte quasiment coupée en deux. D’un côté, les pays présentant un risque d’infection élevé à très élevé. De l’autre, ceux dont le nombre d’attaques enregistrées est faible ou très faible.
Il est clair que les auteurs de malwares pour OSX et les distributeurs de logiciels publicitaires se concentrent sur les marchés où les appareils Apple sont le plus utilisés. Les États-Unis arrivent donc en tête (menace sur OSX très élevée), suivis du Canada, de l’Europe occidentale, de l’Australie et du Japon (menace sur OSX élevée à très élevée).
Quelques pays se trouvent dans l’« entre-deux », comme l’Italie et la Chine par exemple, qui présentent des chiffres élevés mais nettement moins que les pays cités plus haut. L’Amérique latine, l’Afrique et l’Asie ne sont pas, malgré quelques exceptions, des cibles d’attaques basées sur macOS.
Menaces sur l’IoT
Les menaces qui visent les objets connectés ont continué d’augmenter en 2020. Les gens passent de plus en plus de temps chez eux et sont toujours plus nombreux à s’équiper d’appareils intelligents connectés en permanence à Internet. Certes, la plupart de ces appareils peuvent être considérés comme sûrs, mais il en existe aussi des dizaines qui sont vulnérables en raison de failles de sécurité dans la configuration matérielle ou logicielle.
Étant donné qu’ils ne nécessitent généralement pas l’intervention des utilisateurs, qui pourraient être amenés à installer des logiciels malveillants, comme dans le cas d’une application de logiciel publicitaire ou d’un e-mail d’hameçonnage, les menaces qui visent les objets connectés concentrent leurs efforts sur ces deux vecteurs d’infection :
- L’exploitation des vulnérabilités d’exécution du code à distance
- Le piratage des identifiants par force brute
Cette seconde technique est particulièrement désastreuse, car elle repose sur des mots de passe par défaut qui n’ont jamais été modifiés ou ne sont pas suffisamment complexes, sur un appareil qui est connecté en permanence à Internet.
Les menaces plus difficiles à éviter sont celles qui exploitent des vulnérabilités connues sur les appareils. Les objets connectés, en particulier ceux de génération plus ancienne, sont susceptibles de présenter des failles de sécurité non corrigées dont peuvent se servir les cybercriminels pour obtenir un accès non autorisé à un réseau domestique ou d’entreprise.
