Microsoft publie son rapport semestriel sur les données de sécurité. Il porte sur le second semestre 2013 et brasse les données remontées par plus de 800 millions d'ordinateurs Windows dans le monde utilisant ses outils de sécurité.

Les données malware sont glanées par Malicious Software Removal Tool qui est mis à jour à l'occasion de chaque Patch Tuesday et permet la suppression de programmes malveillants de Windows. Dans le rapport, MSRT sert à remonter un taux d'infection dit CCM pour Computers Cleared per Mille, et représente le nombre d'ordinateurs signalés comme étant nettoyés toutes les 1 000 exécutions de l'outil.

Au quatrième trimestre 2013, ce taux d'infection dans le monde est passé en moyenne à 17,8 alors qu'il était de 5,6 un an auparavant ! Cette forte augmentation a touché toutes les versions de Windows. Et non, Windows XP n'a pas été la version la plus concernée comme on aurait pu le penser.

Notamment, le taux d'infection de Windows 7 a été supérieur à celui de Windows XP, tandis que celui de Windows 8 a connu un boom. En apparence, cela pourrait mettre à mal l'argument de Microsoft voulant que le taux d'infection de Windows XP - dont le support a pris fin - est beaucoup plus élevé que pour Windows 8.

Microsoft-SIR-taux-infection-windows-T4-2013
Mais les mécanismes de protection propres au système d'exploitation n'ont pas grand-chose à voir dans cette affaire et ils permettent bel et bien de compliquer la tâche des cybercriminels pour l'exploitation de vulnérabilités connues.

Le pic aura été temporaire - un retour à la normale est attendu pour 2014 - et attribué à une augmentation de nuisibles ayant recours à des tactiques dites trompeuses. Trois familles de malware en particulier dont Rotbrow qui a été le plus présent au second semestre.

Rotbrow se fait passer pour un plugin pour navigateur dénommé Browser Protector ou Browser Defender et visant à soi-disant renforcer la protection de l'ordinateur. Une tactique similaire à celle employée par les faux antivirus. Connu depuis 2011, Rotbrow n'avait jamais eu de comportement malveillant jusqu'en 2013 lorsqu'il s'est retrouvé associé au bot Sefnit.

Rotbrow, qui n'était pas répertorié en tant que malware et bénéficiait d'une base conséquente d'installations, a alors téléchargé des extensions malveillantes pour navigateur. Lorsque le comportement de Rotbrow a changé, Microsoft indique avoir alerté les autres sociétés de sécurité afin qu'un blocage s'opère.

Les cybercriminels ont ici fait preuve de malice et d'une grande patience. Mais Rotbrow n'est peut-être finalement qu'un exemple parmi d'autres. N'est-ce pas le vice-président de Symantec qui a déclaré récemment que l'antivirus est mort sous sa forme actuelle ?