Table des matières
- Protéger les ménages canadiens
- Qu’est-ce qu’un « blocage »?
- Volume élevé de blocages au cours du 3e trimestre
- Des domaines associés à plus de 400 TLD sont bloqués chaque mois
- La majorité des blocages est associée à un petit nombre de domaines
- Tendances en matière d’hameçonnage
- Tendances en matière de programmes malveillants
- Tendances en matière de réseau de zombies
- Sites d’hébergement couramment utilisés pour les cyberattaques
Protéger les ménages canadiens
Pour atteindre l’objectif de CIRA de promouvoir un Internet fiable, nous développons des outils comme le Bouclier canadien de CIRA que les Canadiens peuvent utiliser pour se protéger en ligne.
Le Bouclier canadien est un service de cybersécurité gratuit qui améliore la protection des renseignements personnels et bloque les réseaux de zombies, les rançongiciels et autres programmes malveillants. Il a été créé par des Canadiens, exclusivement pour les ménages canadiens.
Pour vous aider à mieux comprendre les cybermenaces, nous avons analysé les données de bloc du Bouclier canadien recueillies entre octobre 2020 et septembre 2021, et particulièrement au troisième trimestre (de juillet à septembre 2021).
Pour en savoir plus sur nos résultats, consultez les sections ci-dessous.
Qu’est-ce qu’un « blocage »?
Le Bouclier canadien de CIRA est un résolveur de système de noms de domaine (DNS) public qui effectue une double vérification pour s’assurer que les sites que vous essayez de visiter ne sont pas malveillants. Lorsque nous découvrons que c’est le cas, nous vous empêcherons de les visiter.
Le DNS est le pilier central d’Internet, car il fournit la correspondance entre les noms de domaines (par exemple : www.cira.ca) et les adresses IP (192.228.29.1), à l’instar de l’annuaire téléphonique. De cette façon, il suffira aux utilisateurs de mémoriser quelques caractères (« www.cira.ca ») plutôt qu’une adresse IP compliquée.
Un « blocage » survient chaque fois que le Bouclier canadien de CIRA empêche une requête du DNS d’atteindre un site malveillant. Par exemple, la saisie de « www.cira.ca » dans votre moteur de recherche déclenchera une requête du DNS qui vous permettra d’accéder au site Web de CIRA. Si jamais le Bouclier canadien de CIRA soupçonne que « www.cira.ca » est hébergé par un logiciel malveillant (bien évidemment, nous ne laisserions jamais cela se produire!), l’accès sera interdit à l’utilisateur.
Volume élevé de blocages au cours du 3e trimestre
Le volume total de blocages enregistré de juillet à septembre 2021 (3e trimestre) était supérieur de 31,7% au volume enregistré au cours des trimestres précédents.
Bien que les blocages d’activités de programmes malveillants aient été les plus fréquents, le plus grand nombre de blocages d’hameçonnages et d’activités de réseaux de zombies a été enregistré en juillet, y compris un petit nombre d’incidents qui ont suscité un volume élevé de blocages de requêtes du DNS.
Volume total de blocages de requêtes du DNS par mois
Totaux mensuels par police d’assurance, indiquant une hausse subite d’attaques de réseaux de zombies et d’hameçonnages en juillet
Des domaines associés à plus de 400 TLD sont bloqués chaque mois
Le Bouclier canadien bloque en moyenne chaque mois 70 000 domaines uniques associés à plus de 400 TLD.
En plus d’un mois record de juin qui a enregistré le blocage de 183 411 noms de domaine uniques par le Bouclier canadien, on observe une augmentation constante du nombre de domaines uniques bloqués par mois, avec plus de 80 000 en juillet et en août.
Parallèlement à l’augmentation du nombre de domaines uniques bloqués chaque mois, on observe une hausse du nombre de domaines de premier niveau (TLD) uniques bloqués par mois, avec plus de TLD uniques bloqués en juillet et en août du 3e trimestre.
Une augmentation constante a été observée en ce qui concerne le nombre de domaines uniques bloqués avec une hausse notable en juin.
Le nombre de TLD bloqués semble augmenter malgré une baisse importante en septembre.
La majorité des blocages est associée à un petit nombre de domaines
En juillet et août 2021, le Bouclier canadien a bloqué un total de 110 019 domaines uniques. En observant la répartition des blocages par domaines clés, nous constatons que 167 domaines représentaient 75 % de tous les blocages de programmes malveillants et 2 000 domaines clés représentaient plus 70 % de toutes les requêtes se rapportant aux hameçonnages.
167 domaines
75% blocages de programmes malveillants
2,000 domaines
70% demandes se rapportant aux hameçonnages
Tendances en matière d’hameçonnage
Au 3e trimestre 2021, le nombre moyen de blocages d’attaques d’hameçonnage enregistrés a presque doublé (93,8%) par rapport aux trimestres précédents, juillet ayant enregistré le total mensuel le plus élevé avec plus de 1,5 million de blocages enregistrés.
Du 12 au 30 août, chaque jour, le Bouclier canadien de CIRA a enregistré, entre 11 h et 15 h HE, une flambée d’hameçonnages associés à des adresses IP, à Toronto, en Ontario. Depuis le 31 août, les hausses subites sont plutôt observées entre 16 h et 20 h HE.
De même, le Bouclier canadien de CIRA a enregistré une hausse fulgurante de blocages d’hameçonnages associés à un domaine principal en Colombie-Britannique les 5, 6, 9 et 10 août. Les professionnels de la sécurité de l’information ont associé ce domaine à des attaques d’hameçonnage connues.
Tendances en matière de programmes malveillants
Les données du Bouclier canadien de CIRA ne révèlent pas clairement une tendance à la hausse ou à la baisse en ce qui concerne les blocages de programmes malveillants. Cependant, il y a eu un total de 1 889 838 blocages de programmes malveillants associés aux incidents importants suivants :
- 22 août : Il y a eu 331 061 blocages associés à un seul domaine hébergé à Hong Kong.
- 28 août : Un total de 137 196 blocages associés à un seul domaine hébergé aux États-Unis.
- 15 septembre : En sept minutes, entre 20 h 30 et 20 h 42 HE, le Bouclier canadien de CIRA a bloqué 1 391 473 requêtes du DNS pour un seul domaine.
22 août
331 061 blocages
Hong Kong
28 août
137 196 blocages
États-Unis
15 septembre
1 391 473 blocages
7 minutes
Tendances en matière de réseau de zombies
Le Bouclier canadien de CIRA a bloqué 2,2 millions de requêtes du DNS associées à 15 réseaux de zombies connus au 3e trimestre. Le volume élevé de blocages était en grande partie imputable à Sodinokibi/REvil, un rançongiciel sophistiqué détecté pour la première fois en juillet 2021 par le Bouclier canadien de CIRA.
Les autres réseaux de zombies les plus courants bloqués par le Bouclier canadien étaient QSnatch, un programme malveillant furtif conçu pour attaquer le matériel de stockage, Simda, un programme malveillant et un réseau de zombies bien connu, et Tinba souvent utilisé pour les fraudes financières.
Le Bouclier canadien a également bloqué le programme malveillant Flubot, un logiciel espion détecté pour la première fois en septembre et a procédé au blocage de 1 043 requêtes du DNS. Pykspa, un type de programme malveillant qui se propage par le biais de Skype, a également été utilisé pour un grand nombre d’attaques au cours du 2e trimestre de 2021, comparativement aux six premiers mois de l’année, avec plus de 2 700 requêtes du DNS bloquées pendant le seul mois de septembre.
Réseaux de zombies les plus courants :
- REvil (ou Sodinokibi)
- Qsnatch
- Simda
- Tinba
- Flubot
- Malware
- Pyskpa
Les réseaux de zombies s’affairent pendant que vous dormez.
En cumulant le nombre de blocages d’attaques de réseaux de zombies par heure de la journée, nous constatons qu’il y a un volume accru de blocages vers minuit HE, avec une moyenne de plus de 300 000 enregistrés entre minuit et 1 heure du matin.
C’est une tendance constante basée sur les données historiques remontant à octobre 2020.
Il y a une augmentation notoire d’attaques de réseaux de zombies vers minuit HE.
Sites d’hébergement couramment utilisés pour les cyberattaques
En analysant un échantillon de requêtes DNS bloquées par le Bouclier canadien au cours du 3e trimestre, nous pouvons identifier une liste des 500 principaux domaines, qui ont contribué à la grande majorité des blocages enregistrés au cours de cette période. Nous les décomposons par type de politique ci-dessous.
Programmes malveillants
Nous constatons que sur les 155 principaux domaines bloqués en vertu de la politique définie en matière de programmes malveillants, 54,8 % sont hébergés aux États-Unis et 10 % à Hong Kong, le reste étant réparti entre 22 autres pays.
54,8 % | États-Unis
10 % | Hong Kong
35,2 % | 22 autres pays
Hameçonnage
Pour l’hameçonnage, nous constatons une répartition similaire, 51 % des domaines bloqués en vertu d’une politique relative aux hameçonnages étant hébergés aux États-Unis, 30 % à Hong Kong, le reste étant réparti entre 23 autres pays.
51 % | États-Unis
30 % | Hong Kong
19 % | 23 autres pays
Réseaux de zombies
Il y a eu seulement 15 domaines associés aux blocages de réseaux de zombies durant la période indiquée, 47 % d’entre eux étant hébergés aux États-Unis, 13 % à Hong Kong et Amsterdam, le reste étant réparti entre la France, l’Allemagne, la Russie et la Corée du Sud.
47 % | États-Unis
13 % | Hong Kong
13 % | Amsterdam
27 % | Autres pays
À propos de ce rapport
Ce rapport d’information du Bouclier canada est produit par CIRA pour communiquer les informations relatives aux cybermenaces auxquelles les ménages canadiens sont exposés. Pour aider les Canadiens à mieux comprendre les cybermenaces, nous avons analysé les données de blocs du Bouclier canadien de CIRA recueillies entre octobre 2020 et septembre 2021, et particulièrement au 3e trimestre (de juillet à septembre 2021). Vous en saurez plus sur les services du Bouclier canadien de CIRA ici.
