août 14, 2015

La magie des sources anonymes

Qui a tué John F. Kennedy ?

Qui contrôle le triangle des Bermudes ?

Quel est le but des francs-maçons ?

C’est facile ! Les réponses à ces questions ne pourraient pas être plus simples. Tout ce que vous avez à faire est d’ajouter : « selon une source anonyme » … et voilà !  Vous avez les réponses à toutes les questions, sur tous les sujets ou sur toutes les personnes. Et ces réponses paraissent des plus vraisemblables, non pas du fait de leur crédibilité, mais compte tenu du prestige accordé, en général, au média qui dévoile l’histoire.

Récemment, Reuters a eu une « exclusivité mondiale » concernant le secteur des antivirus. Son article est rempli de fausses affirmations sensationnelles. Il prétend que Kaspersky Lab (KL) a créé des malwares ciblés très spécifiques et les a envoyé anonymement à d’autres concurrents anti-malware. KL aurait eu soi-disant pour but de leur causer de sérieux problèmes et de nuire à leur part de marché. Mais bien sûr ! Toutefois, ils ont oublié d’ajouter que nous faisons apparaître tous ces malwares comme par magie, pendant nos sessions de bania (bains publics russes à vapeur, type hammam), après avoir laissé dehors les ours que nous montons.

L’histoire de Reuters est fondée sur les informations fournies par des anciens employés de KL qui sont restés anonymes. Dans ce cas, les mensonges sont justes absurdes. Peut-être que ces sources ont réussi à impressionner les journalistes, mais d’après moi, publier une telle « exclusivité » sans la moindre preuve n’est pas du bon journalisme. Je suis curieux de voir ce que ces « ex-employés » vont dire de nous la prochaine fois qu’ils parleront aux médias, et je me demande qui serait capable de croire leurs bêtises.

En réalité, l’histoire de Reuters est une compilation de nombreux faits qui relèvent de la pure fiction.

En 2012-2013, le secteur des anti-malwares a beaucoup souffert de problèmes graves concernant des faux positifs. Malheureusement, nous faisions partie des entreprises les plus touchées. Il se trouve que ce fut une attaque coordonnée contre notre secteur : quelqu’un répandait un logiciel légitime qui contenait des codes malveillants et qui ciblait les moteurs antivirus spécifiques de nombreuses entreprises, y compris ceux de KL. Nous ne savons toujours pas qui était derrière cette attaque, mais on affirme à présent que c’était moi ! Je ne m’y attendais vraiment pas et je suis très surpris de cette accusation sans fondement !

Voici ce qu’il s’est passé : en novembre 2012, nos produits ont créé de faux positifs sur plusieurs fichiers qui étaient en réalité légitimes. Ceux-ci se trouvaient sur la plateforme de distribution de contenus en ligne de Steam, le game center de Mail.ru et la messagerie instantanée de QQ. Une enquête interne a montré que ces incidents ont eu lieu à cause d’une attaque coordonnée par une tierce personne.

Pendant les mois qui ont précédé les incidents, par le biais des plateformes d’échange d’informations de notre secteur tel que le site Internet VirusTotal, nos laboratoires de recherche contre les malwares avaient reçu, à de nombreuses reprises, des fichiers légitimes légèrement modifiés provenant de Steam, de Mail.ru et de QQ. Le(s) créateur(s) de ces fichiers leur avaient ajouté des bouts de codes malveillants.

Ensuite, nous en sommes arrivés à la conclusion que les attaquants savaient déjà comment les algorithmes de détection de ces entreprises fonctionnaient, et qu’ils appliquaient les codes malveillants à un endroit où ils savaient que les systèmes automatiques n’iraient pas les chercher.

Les nouveaux fichiers reçus étaient alors analysés comme malveillants et ajoutés à notre base de données. Au total, nous avions reçu des douzaines de fichiers légitimes qui comprenaient des codes malveillants.

Les faux positifs ont commencé à apparaître une fois que les propriétaires légitimes des fichiers ont sorti des versions actualisées de leurs logiciels. Le système comparait les fichiers avec la base de données des malwares (qui comprenait des fichiers très similaires) et estimait que les fichiers légitimes étaient malveillants. Par la suite, nous avons mis à jour notre algorithme de détection pour éviter de telles détections.

En attendant, les attaques se sont poursuivies en 2013, et nous avons continué de recevoir des fichiers légitimes modifiés. Nous nous sommes aussi rendu compte que notre entreprise n’était pas la seule à être visée par cette attaque : d’autres acteurs du secteur recevaient aussi ces fichiers et les détectaient par erreur.

En 2013, une réunion à huis clos a été organisée entre les leaders de la cybersécurité, certaines entreprises de softwares également touchées par l’attaque et des vendeurs, non concernés par le problème, mais qui en avaient connaissance. Pendant cette réunion, les participants ont échangé des informations sur les incidents, ont essayé de comprendre pourquoi ces derniers s’étaient produits et ont  élaboré un plan d’action. Malheureusement, nous n’avons pas réussi à découvrir qui se cachait derrière ces attaques, même si d’intéressantes théories avaient été évoquées. En particulier, ceux qui ont participé à cette réunion pensaient qu’un autre vendeur d’antivirus pouvait être derrière cette attaque, ou que cette dernière était une tentative d’un acteur inconnu, mais puissant, qui voulait ajuster son malware afin d’éviter d’être détecté par les produits antivirus clés.

De telles accusations n’ont rien de nouveau. En remontant à la fin des années 90, vous pourriez voir que je prenais avec moi une pancarte avec le mot « NON » écrit dessus. Grâce à elle, j’économisais alors beaucoup de temps. Je la levais quand quelqu’un me demandait : « est-ce que vous concevez des virus vous-même afin de pouvoir « remédier » à vos infections ? » Et oui, en effet. Aujourd’hui, on me demande encore souvent la même chose. Est-ce qu’ils pensent vraiment qu’une entreprise de plus de 18 ans, qui est fondée à 100 % sur la confiance de ses clients, ferait une telle chose ?

 

Il semblerait que certaines personnes préfèrent croire que les autres sont coupables jusqu’à ce que leur innocence soit prouvée. Je suppose qu’il y aura toujours des gens comme ça. C’est la vie. Mais j’espère vraiment que ces personnes se rendront compte que ces accusations anonymes sont en réalité absurdes et infondées. Ce que je peux affirmer, c’est que nous continuerons de travailler de très près avec les entreprises de notre secteur afin de rendre le monde numérique plus sûr, et que nous maintiendrons notre engagement et notre dévouement pour contrer les menaces cybernétiques, quel que soit leur source.

Il y a de fausses accusations selon lesquelles @kasperky a empoisonné ses concurrents avec de faux positifs.Tweet

 

LIRE LES COMMENTAIRES 0
Laisser un commentaire
Facebook

février 27, 2024

Les récompenses ne sont jamais trop nombreuses. Surtout si elles sont européennes !

Bonjour à tous… depuis l’Autriche ! Mais je n’y suis pas allé que pour admirer depuis ma fenêtre le temps morne qu’il fait en Europe. J’y étais pour les affaires – pour faire beaucoup de choses. Mais surtout pour recevoir ça moi-même ! -> … Parce que quand votre entreprise reçoit une récompense qui n’est […]

juin 27, 2023

Experts en cybersécurité : le SAS est de retour et en présentiel !

Trompettes, roulements de tambour, applaudissements, cris d’encouragement, sifflements… ! Par cet acte, j’ai deux nouvelles à vous annoncer : une bonne, et une autre encore meilleure ! Tout d’abord, cette année nous allons organiser la 15ème édition de notre conférence annuelle de cybersécurité : le Security Analyst Summit (SAS). Quinze ? Incroyable, le temps passe si vite ! Ensuite, nous pouvons […]

janvier 19, 2023

Analyse de 2022 : nos brevets ont connu un franc succès !

L’invention de nouvelles technologies de pointe ne représente que la moitié du travail. Attendez, non ! Je ne devrai pas être pas si catégorique… Les nouvelles technologies d’avant-garde et révolutionnaires sont en réalité un cycle de vie probablement beaucoup plus complexe et long que ce que la majorité des gens pensent au premier abord. Évidemment, si […]

novembre 11, 2022

11 / 11 : ce qui s’est passé ces vingt dernières années !

Mesdames et messieurs ! Et tout à coup, nous avons un nouveau jubilé. Hourra ! Notre système d’exploitation cyber-immunisé, KasperskyOS est actuellement… Attendez ! Non, ce n’est pas exact… Il y a exactement 20 ans, le 11 novembre 2002, nous avons entamé un long voyage extrêmement important : un voyage que nous n’avons toujours pas terminé. Un vaste projet […]

juillet 21, 2022

Cyber-histoires du côté obscur (et d’autres positives) : un piratage audacieux de cryptomonnaie, K s’intéresse aux technologies neuromorphiques et comment entrer dans un centre de données depuis… les toilettes !

Bonjour à tous ! Pour ceux qui gagnent leur pain à la sueur de leur front, ceux qui n’ont pas encore la chance d’être partis en désintoxication numérique vacances, voici quelques cyber-actualités croustillantes pour éviter que votre cerveau ne surchauffe. Il s’agit évidemment d’histoires du côté obscur, mais aussi positives, incroyables et difficiles à croire dans […]

juillet 5, 2022

Un Kart de siècle ? Où le temps est-il passé ?!…

Salut à tous ! Il y a 25 ans et neuf jours, le 26 juin 1997, l’entreprise qui porte le même nom que moi a été inscrite aux registres. Il s’agissait de  » débuts modestes « , littéralement : une douzaine de personnes avec un taux de rotation nul – mais avec une expertise technique particulière, et des projets […]

Plus

Carnet de voyage vidéo