La 14ème édition du Security Intelligence Report de Microsoft vient de paraître. Ce rendez-vous régulier est une photographie du paysage des malwares actifs visant les plateformes Windows, et portant sur les statistiques anonymisées renvoyées par les outils de protection des systèmes Microsoft, soit près d’un milliard de points de mesure répartis dans le monde. Le SIR14 analyse le second semestre 2012.
Durant cette période, les « compteurs de hits malware » ont enfin mis en évidence une perte de vitesse des attaques Conficker et Autorun (-37 %). Durant cette même période, 7 attaques sur 10 visant les entreprises provenaient de sites Web compromis. Il s’agit généralement de redirections iFrame et plus particulièrement IframeRef qui détient le record d’attaques Web sur 2H12 avec 3,3 millions de « hits ». Le succès de ces attaques est en partie facilité par le fait que 2,5 machines sur 10 ne sont pas protégées par un antivirus. Les « sondes » Microsoft parviennent ainsi à découvrir qu’entre 20 et 32% des systèmes XP/Vista/W7 (32 et 64 bits) sont ainsi dépourvus de défense (moins de 7% pour les quelques Windows 8 RTM pris en compte par l’étude). Mais les attaques les plus virulentes ne visent pas directement le noyau Windows. BlackHole, avec ses charges utiles Java par exemple, fait encore beaucoup de dégâts.
Par catégorie et répartition géographique, on constate une très forte présence des « adwares » indésirables en France (41% des infections) suivis de près par l’installation automatisée de logiciels non souhaités (34 %). Les véritables virus, à commencer par les Troyens, viennent loin derrière (20%), suivis par les exploits multiples, downloaders et droppers généralement utilisés par les botnets (respectivement 11,7 et 9%). Les virus traditionnels ne passent pas la barre des 2%.