Quelle est la durée de vie moyenne d’une adresse IP infectée ? Quelle est la répartition entre les particuliers et les entreprises ? Quelle est la vocation première d’une adresse infectée ? Quels sont les pays les plus émetteurs de spams et ceux les plus infectés ? Quels sont leurs modes de propagation ? Autant de questions auxquelles Trend Micro apporte des réponses grâce à une étude réalisée par ses chercheurs.

Rueil-Malmaison – Le 5 octobre 2009 – Si les experts du secteur de la sécurité estiment qu’en moyenne une machine infectée le reste pendant 6 semaines environ, l’étude menée récemment par Trend Micro remet en cause ce statut-quo. Après analyse d'environ 100 millions d'adresses IP infectées*, Trend Micro a constaté qu’une majorité des infections durait au-delà de deux ans et que la durée de vie moyenne d’une adresse IP infectée était de 300 jours environ sur les pays les plus touchés. Selon les statistiques de Trend Micro, 80 % des machines infectées l’ont été pendant plus d'un mois.

Adresses IP infectées : quelle répartition ?
Et ces chiffres sont, à vrai dire, en deçà de la réalité. En effet, Trend Micro a déterminé que 75 % des adresses IP infectées provenaient du grand public. En revanche, les 25 % restants appartiennent à des entreprises. Une adresse IP corporate est généralement associée à une passerelle Internet et à un réseau de machines, ce qui laisse suggérer que plusieurs de ces machines sont susceptibles d’être associées à une adresse IP précise : la proportion des ordinateurs professionnels infectés se situerait bien au-delà des 25% et viendrait ainsi augmenter le nombre de machines infectées.

Vol de données confidentielles, première finalité des réseaux de botnets
Lorsqu’un ordinateur est infecté, il se retrouve souvent au sein d’un vaste réseau (un botnet) constitué de machines dites “zombies”. Ces réseaux sont à l’origine d’attaques malveillantes ou servent à perpétrer des exactions de type fraudes ou détournements d'informations. En 2009, la quasi-totalité des logiciels malveillants étudiés par les experts de Trend Micro avait pour principal objectif celui de détourner des informations (identifiants et autres données confidentielles).
L’étude Trend Micro s’est penchée sur les réseaux botnets les plus dangereux pour les données confidentielles, les informations financières et les détournements d'identité. À ce jour, les trois réseaux botnets les plus étendus sont sans doute les suivants :
- Koobface
- ZeuS/Zbot
- Ilomo/Clampi

De manière générale, ces botnets contrôlent davantage de machines infectées qu’on ne le pense. Une poignée de criminels dans le monde, quelques centaines à peine, contrôlent ainsi plus de 100 millions de machines. Les cybercriminels disposent ainsi d’une puissance supérieure à celle de tous les super-ordinateurs associés dans le monde. On ne s’étonnera donc qu’à moitié que 90 % des échanges d’emails dans le monde est aujourd’hui lié au spam.

D’autre part, on note également une forme de corrélation entre les 10 pays comptant le plus de machines infectées et les 10 plus grands pays émetteurs de spam.

Dans le cas spécifique de Koobface, les experts de Trend Micro ont établi que ce botnet englobait à lui seul environ 51 000 machines infectées. À tout moment, Koobface utilise 5 à 6 centres de commande et de contrôle (C&C) pour piloter ces machines infectées. Si le domaine d’un C&C est supprimé par un fournisseur précis, le gang Koobface enregistre ce même domaine auprès de fournisseurs tiers. Trend Micro a ainsi identifié 46 domaines C&C liés à Koobface.
À titre de comparaison, 69 domaines de C&C ont été identifiés pour le botnet Ilomo. Ce chiffre reste difficile à confirmer, puisque de nouveaux domaines sont rajoutés chaque jour. De plus, le nombre de machines infectées au sein d’Ilomo ne peut être évalué précisément, compte tenu de la structure de ce réseau botnet.

Pour Trend Micro, il devient urgent de mener des analyses et études de manière régulière et de mettre à disposition les résultats, à l’instar des rapports techniques sur les botnets Koobface et Ilomo qui sont téléchargeables dans la section Etudes et Analyses de TrendWatch (http://us.trendmicro.com/us/trendwatch/research-and-analysis/white-papers-and-articles/index.html).

De nouvelles technologies émergent pour contrer cette forte recrudescence de menaces. Asini, Trend Micro Smart Protection Network, qui permet de détecter et se protéger contre les infections, neutralise chaque année plus d’1 milliard de tentatives d’infections de ses utilisateurs. Cette infrastructure décline son analyse en trois domaines principaux : la réputation email, la réputation web et la réputation de fichiers. Ces fonctions viennent enrichir des outils plus classiques de lutte contre le spam et les logiciels malveillants.

En traitant plus de 5 milliards de requêtes par jour, Smart Protection Network de Trend Micro se veut une infrastructure cloud-client de nouvelle génération, qui neutralise les menaces Web en amont des réseaux. L’infrastructure s’associe à des technologies « In-the-cloud » (hébergées sur le Web) et des logiciels clients légers, pour ainsi activer une protection immédiate et sans faille.


*Le nombre d’adresses IP infectées est le fruit d’une estimation basée sur les statistiques de Trend Micro.