Le nombre de codes malicieux hébergés a explosé en 2009

Les failles découvertes en 2009 ont été moins nombreuses qu'en 2008. Près de la moitié d'entre elles concernent des applications Web. Quant au phishing, il a repris sa progression au second semestre.

Bonne nouvelle ! Les failles découvertes en 2009 ont été moins nombreuses qu'en 2008. De l'ordre de 6 600, elles sont en baisse de 10% comparé à l'année précédente. C'est là l'un des principaux enseignements du baromètre (X-Force) 2010 d'IBM sur les menaces de sécurité informatique. 

La tendance est notamment perceptible pour les failles critiques (non-corrigées) présentes dans les progiciels du marché. "Ce qui prouve que les éditeurs ont amélioré leurs actions en matière de sécurité", se félicite Tom Cross, responsable d'IBM X-Force Research.

Le groupe constate notamment une diminution des problèmes liés au composant ActiveX et à l'injection SQL. Pour autant, les failles touchant les applications Web n'ont pas faibli : 49% des vulnérabilités référencées par le groupe en 2009 concernent des technologies Web. IBM pointent notamment la montée en puissance des incidents de cross-site scripting. 67% de ces failles Web ne faisaient pas l'objet de correctif fin 2009.

Après quelques mois d'accalmie, les campagnes de phishing ont repris de plus belle au second semestre 2009

IBM note également une montée en puissance des problèmes de sécurité sur le terrain des systèmes de gestion documentaire et multimédia. Ce type de faille aurait progressé de 50% entre 2008 et 2009.

Autre tendance inquiétante, le développement des liens Web malicieux menant vers des virus hébergés. D'après IBM, leur nombre a cru de 345% comparé à 2008. Dans le même temps, le recours aux techniques d'obfuscation a augmenté. Une méthode qui consiste à cacher des virus dans des documents ou des pages Web pour empêcher leur détection par les logiciels de sécurité. Le nombre de ces cyberattaques aurait été multiplié par trois à quatre entre 2008 et 2009.

Qu'en est-il des activités de phishing ? Après s'être calmées à la fin du premier semestre 2009, les campagnes d'arnaque sur Internet ont repris de plus belle sur la seconde partie de l'année. La plupart des opérations ont été lancées depuis le Brésil, les Etats-Unis et la Russie. 

IBM estimes que 61% des messages d'hameçonage émis en 2009 faisaient passer leur émetteur pour des acteurs financiers, et 20% pour des administrations publiques.