Microsoft publie la 11e édtiion de rapport de sécurité, le Security Intelligence Report, qui fait état des attaques concernant Windows sur 2 trimestres. L'étude, qui porte sur les 2 premiers trimestres de 2011, met en lumière deux vecteurs d'infection : l'exécution de fichiers en autorun et l'absence de mise à jour des systèmes

Le SIR 11 commence par une bonne nouvelle : les failles zero day, qui exploitent des failles pour lesquelles des correctifs n'ont pas encore été déployés, sont en baisse et représentent à peine 1% de toutes les attaques. Les efforts de Microsoft en matière de développement sécurisé semblent donc porter leurs fruits, mais c'est rassurant sans l'être car cela signifie à l'inverse que les attaques ciblent des vulnérabilités déjà censées être patchée. La raison selon Bernard Ourghanlian, Directeur Technique et Sécurité chez Microsoft France : tous les utilisateurs ne pensent pas encore à mettre leur système à jour.

Les menaces via Autorun continuent à poser problème selon Microsoft, et constituent 26% des vecteurs d'attaque. Un patch publié en février 2011 a fait baisser celles ci de manière significative sous Windows XP et Vista. Là encore, Bernard Ourghanlian déplore des chiffres qui restent trop hauts : « Malheureusement, même après avoir appliqué le patch, certains utilisateurs continuent à exécuter les fichiers derrière les autoruns quoiqu'il arrive ».



Quid des types de vulnérabilités ? Le détail du rapport confirme une tendance déjà observé dans la précédente édition : les attaques ciblant des vulnérabilités de Java sont toujours majoritaires, totalisant entre 30 et 50% des attaques constatées sur le 1er semestre. On note également une progression, sur le 2e trimestre, des attaques ciblant le système d'exploitation, due selon Microsoft à la faille CVE-2010-2568. Notamment exploitée par Stuxnet, cette vulnérabilité apparue en juillet 2010 a bien été corrigée par Microsoft, ce qui appuie le propos de l'éditeur sur les systèmes non mis à jour.



Flash Player et Adobe Reader sont également épinglés par le rapport. Adobe Reader continue à souffrir des menaces de type Win32/Pdfjsc. Reparties à la hausse depuis le 4e trimestre 2010, elles dépassent toujours largement les attaques ciblant Microsoft Office. Du côté de Flash, une remontée du nombre d'attaques est du à la découverte de nouvelles vulnérabilités au cours du 2e trimestre.

Taux d'infection : la France en dessous de la moyenne, les adwares en tête

Concernant le taux d'infection, la France se situe sur les 2 premiers trimestres, en dessous de la moyenne mondiale : 11% contre 9,8% au 1er trimestre, et 8% contre 6,8 au 2e trimestre. En revanche, les utilisateurs français sont toujours majoritairement touchés par des adwares avec 72,4% des ordinateurs infectés contre seulement 37,8 aux Etats Unis, ou 41% en Grande Bretagne. En tête des infections, on trouve les adwares OpenCandy, Hotbar et Click Potato. Là, les explications de Microsoft laissent songeur, l'éditeur émettant l'hypothèse d'un attrait des français pour la publicité et la mode.

Face à ces chiffres, Microsoft émet deux recommandations principales. La première est de mettre son système et ses logiciels tiers à jour. Cela semble tomber sous le sens, pourtant, les chiffres semblent bien être là pour montrer que ça n'est pas le cas selon l'éditeur puisque ses chiffres affirment que nombre d'attaques ciblent des vulnérabilités pourtant déjà patchées par Microsoft, Adobe ou Oracle. La seconde recommandation, tout aussi évidente, réside dans la complexité des mots de passe, et l'utilisation de phrases plutôt que de mots : Bernard Ourghanlian met notamment l'accent sur l'apparition de nouvelles menaces comme Morto, qui utilisent des techniques de type brute force pour deviner le mot de passe administrateur d'un PC sous Windows.



L'intégralité du rapport SIR volume 11 est disponible sur le site de Microsoft, en version anglaise intégrale. Des résumés sont disponibles en plusieurs langues, dont le français.