Le chemin vers la cyber-immunité

Bonjour les amis !

Voici un bref entracte à mes aventures continues dans les régions permafrost : Tales from the Permafrost Side. Et quoi de mieux que le lancement d’un nouveau produit de K ?!

Roulement de tambour, cymbale !

Nous présentons officiellement au monde entier le lancement de notre solution qui offre une « cyber-immunité » complète pour le traitement de données industrielles. La fin des annonces pour la cybersécurité traditionnelle est venue pour laisser place à l’ère de la « cyber-immunité », du moins (pour l’instant) pour les systèmes industriels et l’Internet des Objets (IoT en anglais).

Alors où se trouve cette solution de cyber-immunité ? En fait, elle est dans ma poche !

En lire plus :Le chemin vers la cyber-immunité

Payer ou ne pas payer ? Telle est la question

Parfois, en lisant un article sur les étapes à suivre si on est victime d’une attaque de ransomware, je rencontre des mots tels que : « Vous devriez envisager de payer ». Je soupire, gonfle les joues, expire et ferme l’onglet de navigation. Pourquoi ? Parce que vous ne devez jamais céder face à ces extorqueurs ! Et pas seulement parce que cela voudrait dire que vous soutenez leurs activités criminelles. Les raisons ne manquent pas. Laissez-moi vous expliquer pourquoi.

Premièrement, vous parrainez le développement des logiciels malveillants

En lire plus :Payer ou ne pas payer ? Telle est la question

Flickr photostream

  • Aquarium@Barkas 2021
  • Aquarium@Barkas 2021
  • Aquarium@Barkas 2021
  • Aquarium@Barkas 2021

Instagram photostream

MLAD – L’apprentissage automatique détecte les anomalies pour que les entreprises tournent à plein régime

Ouf, c’est enfin terminé ! Cette année est sans aucun doute la plus terrible que nous ayons vécue mais elle est enfin derrière nous, oubliée, finito, fertig. Comme beaucoup ne cessent de le répéter, espérons seulement que « 2021 soit une meilleure année. De toute façon ça ne peut pas être pire, n’est-ce pas ?! »

Au cours des 10 derniers mois de l’année dernière le monde entier a été dans un état de choc permanent. Je ne parle pas seulement de la population mondiale puisque les entreprises privées et les économies nationales ont aussi été durement touchées. Malheureusement, la cybercriminalité est un des rares secteurs qui n’a pas été cruellement affecté. Au contraire, la pandémie lui a grandement bénéficié. Les personnes confinées et en télétravail passent beaucoup plus de temps en ligne et sont donc beaucoup plus susceptibles d’être prise pour cible par un pirate informatique. Cela touche les individus mais aussi les entreprises : les employés travaillent depuis chez eux et de nombreux réseaux d’entreprise ont été victimes d’attaques puisqu’ils n’étaient pas suffisamment bien protégés. Dans la précipitation, et pour que tout le monde puisse rapidement passer en télétravail au printemps, la sécurité n’était pas la priorité. En résumé, le statu quo du monde numérique subissait de plein fouet l’impact de ce virus vicieux tout droit sorti de l’enfer.

À cause de cette hausse de la cybercriminalité, surtout envers les réseaux vulnérables des entreprises, le secteur de la cybersécurité a été plus occupé que jamais. Oui, nous en faisons partie ! Pour Kaspersky, 2020 a été l’année la plus productive. Par exemple, le nombre de nouvelles versions de nos solutions lancées cette année est particulièrement impressionnant, surtout dans le secteur des entreprises.

Nous avons aussi proposé de nouvelles versions pour nos solutions de cybersécurité industrielle, et aujourd’hui j’aimerai vous parler de l’une d’entre elles. Les connaisseurs en technologie la connaissent sous le nom de MLAD. À ne pas confondre avec le site de vidéos drôles en ligne, ou avec le MLAD de Minimum Local Analgesic Dose ou encore avec le MLAD de « Artère interventriculaire antérieure » (pour les sigles de Mid Left Anterior Descending artery en anglais). Dans notre cas, MLAD sont les initiales de Machine Learning for Anomaly Detection en anglais (Apprentissage Automatique pour la Détection d’Anomalies).

Si vous lisez régulièrement nos blogs, vous vous souvenez peut-être de quelque chose à propos de cette technologie qui est la nôtre. Ou pas. Quoiqu’il en soit, voici une petite piqûre de rappel ou une brève introduction, juste au cas où…

En lire plus :MLAD – L’apprentissage automatique détecte les anomalies pour que les entreprises tournent à plein régime

Conférence en ligne à la chinoise (et superstition pour les technologies pionnières)

En temps normal, mon agenda est rempli de toutes sortes de réunions, d’entretiens avec la presse, de salons ou encore d’interventions à des conférences partout dans le  monde. J’ai bien dit en temps normal, mais les choses sont différentes cette année. Mince !

De nos jours, certains des événements auxquels je participe sont plutôt exceptionnels. Quelques-uns sont réguliers et récurrents (souvent annuels) mais je ne m’y rends que de temps en temps. En revanche, il y a d’autres événements récurrents que je considère tout simplement comme incontournables. Un d’eux est organisé chaque année fin automne ou début hiver à Wuzhen par l’Administration du cyberespace de Chine : la World Internet Conference. J’y assiste chaque année depuis 2015 (du moins jusqu’en 2019), soit juste un an après son « inauguration ». Cette année, malheureusement, je n’ai pas pu faire mon voyage traditionnel en Chine orientale. Pourtant, comme c’est ici aussi le cas à K, ne pas pouvoir être physiquement présent ne signifie pas pour autant que ce grand événement important doit être annulé. C’est une très bonne nouvelle puisque cela veut dire que je peux tout de même m’exprimer et m’adresser aux principaux acteurs de l’Internet en Chine (organismes de réglementation, responsables des instituts provinciaux et régionaux de développement et PDG des grandes entreprises de technologie chinoises) sur un écran immense. Je pense que je n’en avais jamais vu un d’aussi grand !

Évidemment, j’aurai préféré être là-bas pour déambuler dans les rues étroites, pavées et typiques du vieux centre-ville (aussi ancien que la dynastie Tang apparemment) et faire une excursion en bateau sur les canaux, ce que certains ont tout de même réussi à faire. Pour ma part, j’ai joué la sécurité. Cependant, les personnes ayant fait le déplacement étaient nombreuses ce qui est assez encourageant maintenant que presque tout se fait à distance.

Abordons maintenant le point le plus important de cet article : la superstition de Wuzhen…

En lire plus :Conférence en ligne à la chinoise (et superstition pour les technologies pionnières)

Corona ou pas, le show de la Konférence internationale de partenaires doit continuer !

Nous avons une tradition chez K et c’est que chaque année nous allons au banya entre amis organisons une conférence à laquelle nous invitons nos associés et partenaires préférés et ceux qui nous sont le plus chers. Il s’agit d’un événement international et les participants viennent des quatre coins du monde, de l’Amérique à l’Australie (contrairement aux conférences régionales et fonctionnelles que nous organisons à plus petite échelle).

Cette tradition a commencé en 1999 (une année dont j’ai parlé il n’y a pas si longtemps) et nous avons maintenu le rythme pendant 10 ans. Puis en 2009, nous avons décidé de la diviser en plusieurs conférences régionales plus petites parce que cette réunion internationale avait pris beaucoup trop d’ampleur. C’est ainsi que nous avons choisi d’organiser des conférences séparées pour : les Amériques, l’Europe, le Moyen-Orient et l’Afrique, l’Asie et l’Australie et enfin la Russie et les pays voisins.

Revenons-en aux conférences internationales. La première a eu lieu à Moscou, puis nous sommes allés à Saint-Pétersbourg, Chypre, Barcelone, Malte et bien d’autres villes en bord de mer, tout autour de la Méditerranée. Ensuite, nous sommes devenus plus gourmands et avons voyagé aux Caraïbes, à Rio de Janeiro et à bien d’autres endroits toujours plus exotiques. Pour en savoir plus sur ces conférences et autres rassemblements internationaux cliquez ici.

Quelques années plus tard, nous avons divisé cette conférence internationale en plusieurs événements régionaux… mais elle nous manquait tant. Ce qui était évident est arrivé et nous l’avons remise au goût du jour (sans pour autant arrêter celles organisées à niveau régional). Pour le grand retour de cette immense conférence, nous avons décidé d’avoir comme thème et toile de fond le plus grand pays du monde (pourquoi pas ?). En 2017 c’était à Moscou (où, comme je l’ai dit, notre toute première conférence internationale avait eu lieu en 1999… ça va ça vient) ; en 2018 à Saint-Pétersbourg ; en 2019 à Sotchi. Étrangement, il y a 20 ans ces villes hôtes auraient été tout simplement incapables d’accueillir des événements de cette envergure. De nos jours elles le font sans aucun problème et je les recommande à tout le monde.

Nous voilà donc en 2020…

En général, ces conférences traditionnelles et internationales entre partenaires regroupent entre 100 et 150 distributeurs et partenaires internationaux qui y assistent en personne. Cette année nous avions envisagé (c’est aussi une tradition !) de déployer un peu plus nos ailes : l’organiser au circuit de Valence. Malheureusement, 2020 étant… 2020 nous avons dû oublier cette idée ! En revanche, cette quarantaine fatigante, ennuyeuse et constante n’était pas une excuse suffisante pour annuler notre réunion internationale. Nous l’avons tout simplement adaptée : hors ligne > en ligne, ou plutôt quelque chose entre les deux qui est assez hybride (oui, nous suivons le mouvement). Au début nous pensions avoir à peu près 100 invités de 35 pays différents. Le résultat final ? 1800 participants de 150 pays ! « Ne jamais sous-estimer le pouvoir d’un événement international sur Internet, Luke. »😊

Au programme de cette conférence mondiale hybride nous trouvons : mon concept de cyber-immunité, comment le monde passe de l’ère du plastique à l’ère de l’informatique, notre écosystème de partenaires et de produits, comment notre entreprise a résisté à la tornade corona et les traditionnelles analyses et prévisions de nos cyber-ninjas de l’équipe GReAT dans le monde des menaces.

En lire plus :Corona ou pas, le show de la Konférence internationale de partenaires doit continuer !

DRONES – FINI LES SCANDALES D’INTERRUPTION DE SERVICE DANS LES AÉROPORTS : NOUS SOMMES LÀ POUR ASSURER VOS ARRIÈRES.

Depuis plusieurs semaines maintenant, ce dispositif mystérieux, brillant, clairement de haute technologie et futuriste complète mon mobilier de bureau minimaliste au sein du siège K. Il est si remarquable, fantaisiste, habile et post-moderne que c’est la première chose que les visiteurs remarquent, même s’ils se font rares à cause de notre politique de télétravail. Puis ils me posent tous la même question, simple et évidente : « Qu’est-ce que c’est ? ».

Un oiseau, un avion, une caméra (posée sur un trépied), un pistolet ou un genre de scanner ? Vous chauffez !…

Avant de vous le dire revenons un peu en arrière !

En lire plus :DRONES – FINI LES SCANDALES D’INTERRUPTION DE SERVICE DANS LES AÉROPORTS : NOUS SOMMES LÀ POUR ASSURER VOS ARRIÈRES.

OpenTIP, saison 2 : venez plus souvent !

Il y a un an, je me suis adressé aux spécialistes en matière de cybersécurité pour leur présenter le nouvel outil que nous avions développé. Notre Portail de Renseignements sur les Menaces (OpenTIP) utilise les mêmes outils que nos cyber-ninjas de l’équipe GReAT pour analyser les menaces complexes (ou tout simplement les fichiers suspects). Bien d’autres personnes s’en servent aussi pour tester des millions de fichiers chaque mois.

Beaucoup de choses ont changé en un an puisque presque tout le monde a dû passer au télétravail à cause du coronavirus, ce qui a compliqué la vie des experts en cybersécurité. Il est désormais cent fois plus difficile de garantir la sécurité des réseaux d’entreprise qu’avant. Si le temps était précieux avant la Covid-19, il l’est encore plus maintenant. De nos jours, les demandes que nos utilisateurs les plus sophistiqués nous font parvenir sont assez simples et directes : « S’il vous plaît, donnez-nous accès à l’interface de programmation d’application (API) et augmentez les taux limites ! »

Vous nous l’avez demandé alors nous l’avons fait.

Nouvelle page d'accueil de l'OpenTIP

La nouvelle version de OpenTIP offre la possibilité à l’utilisateur de se connecter et je recommande fortement à tous ceux qui consultent régulièrement le site de le faire. Une partie conséquente de l’accès payant TIP se dévoile lorsque vous vous identifiez.

En lire plus :OpenTIP, saison 2 : venez plus souvent !

Zénitude et l’art de maintenir le contact avec nos partenaires

Alors que les choses commençaient enfin à s’améliorer, il semblerait qu’une seconde vague de ce ***** (censuré) virus touche à nouveau le monde entier. À Moscou, le maire encourage tout en douceur (du moins pour le moment) les entreprises à demander à leurs employés de travailler depuis chez eux, les écoles se préparent à nouveau à donner des cours Zoombie via Zoom et notre siège est pratiquement vide (surtout en R&D). On dirait bien que nous n’allons pas beaucoup sortir de chez nous mais, lorsque nous le faisons, nous portons des gants et des masques, nous maintenons la distance sociale et nous faisons un check hochons la tête pour nous saluer. Les choses seront ainsi cet automne et cet hiver. Hum… je me demande ce qui est pire : corona en été ou en hiver ? Voilà une question difficile mais je préfère ne pas m’attarder. Cela n’aide pas vraiment.

Un jour nous repenserons à 2020 et nous pourrons à peine croire que tout ça soit vraiment arrivé ! Probablement. Avec un peu de chance. En sommes-nous sûrs ?…

Nous serons stupéfaits de voir comment le monde entier s’est retrouvé sens dessus dessous et les répercussions négatives que ce virus a eu sur l’humanité. Pourtant, là, en ce jour, comme je suis plutôt du genre à voir le verre à moitié plein qu’à moitié vide, je vais me concentrer sur certains effets positifs de la pandémie, du moins du point de vue d’une entreprise comme la nôtre. Il y a les nouvelles capacités et aptitudes que nous avons dû développer lorsque nous travaillions depuis chez nous et à cause de la fermeture des frontières étant donné que nous sommes une entreprise internationale. Depuis sept mois maintenant personne ou presque n’a pu voyager. Nos installations sont pratiquement vides. Nous n’avons pas pu organiser nos conférences, nos repas et nos activités amusantes avec nos partenaires et nos clients. Pourtant les affaires continuent, et vont plutôt bien d’ailleurs puisque nous avons dépassé nos objectifs ! Vous vous demandez sûrement comment ? Voici tous nos secrets…

En lire plus :Zénitude et l’art de maintenir le contact avec nos partenaires

Ransomware : on ne rigole plus

Pour commencer, petit retour en arrière…

Le 10 septembre, le ransomware-malware DoppelPaymer a chiffré 30 serveurs d’un hôpital de la ville allemande de Düsseldorf, suite à quoi le débit de patients malades s’est effondré. Il y a une semaine, à cause de cette baisse, l’hôpital n’a pas pu accepter une patiente qui devait être opérée en urgence et l’a redirigée vers l’hôpital de la ville voisine. Elle est décédée pendant le trajet. Il s’agit du premier décès directement lié à l’attaque d’un ransomware.

Cette histoire est très triste, surtout lorsque l’on y regarde de plus près : il y a eu  » l’accident  » fatal (en supposant que les cybercriminels n’avaient pas prévu que leurs mauvaises actions provoqueraient un décès), une négligence évidente des règles de base à suivre en matière de cybersécurité et une incapacité des autorités policières à appréhender l’organisation criminelle impliquée.

Les cybercriminels ont pu attaquer le réseau de l’hôpital grâce à une vulnérabilité (Shitrix) dans les serveurs Citrix Netscaler qui avait pourtant été corrigée en janvier. Il semblerait que les administrateurs système aient attendu trop longtemps avant d’installer le patch et, pendant ce temps, des personnes mal intentionnées ont pu pénétrer dans le réseau et installer une porte dérobée.

Jusque-là ce sont les faits. À partir de maintenant ce n’est qu’une hypothèse impossible à confirmer mais qui semble tout de même très probable…

En lire plus :Ransomware : on ne rigole plus

Apprenez à utiliser les règles YARA : comment prédire les cygnes noirs

Il y a bien longtemps que l’humanité n’avait pas connu une telle année. Il ne me semble pas avoir vécu une année avec autant de cygnes noirs de types et de formes si différents. Il est évident que je ne parle pas de ceux qui ont des plumes. Il s’agit plutôt d’événements inattendus qui ont des conséquences considérables, selon la théorie de Nassim Nicholas Taleb que ce dernier a présenté dans son livre Le Cygne noir: La puissance de l’imprévisible en 2007. Un des principes de cette théorie est, qu’avec le recul, les événements surprenants qui se sont déjà produits s’avèrent être évidents et prévisibles. Pourtant, personne ne les avait anticipés avant qu’ils n’aient lieu.

Les experts en cybersécurité peuvent gérer l’ambigüité des cygnes noirs et les prédire grâce à YARA

Prenons un exemple : cet épouvantable virus qui a mis le monde entier en quarantaine depuis mars. Il s’avère qu’il existe toute une grande famille de Coronaviridae, plusieurs dizaines, et qu’on en trouve régulièrement de nouvelles mutations. Les chats, les chiens, les oiseaux ou encore les chauves-souris. Tous attrapent ce virus. Les humains aussi. Certains virus ne causent qu’un simple rhume alors que d’autres se manifestent… différemment. Il ne fait aucun doute que nous devons trouver un vaccin pour toute cette famille comme nous l’avons fait pour toutes les autres maladies mortelles : variole, polio, etc. Oui, mais avoir un vaccin n’est pas toujours la solution. Regardez la grippe… il n’y a aucun vaccin immunisant et ce depuis combien de siècles maintenant ? Quoi qu’il en soit, avant de commencer à développer un vaccin vous devez savoir ce que vous recherchez et il semblerait que cela relève plus de l’art que de la science.

Pourquoi est-ce que je vous raconte tout cela ? Quel est le lien… Il s’agit forcément de cybersécurité ou d’un voyage exotique, n’est-ce pas ?! Aujourd’hui, nous allons nous concentrer sur le premier élément.

Les zero-day sont une des cybermenaces existantes les plus dangereuses : ces vulnérabilités de logiciel rares et inconnues (pour les experts en cybersécurités et autres) peuvent causer d’importants et d’atroces dégâts à grande échelle, et ont tendance à rester cachées jusqu’à ce qu’elles soient exploitées, ou à n’être découvertes qu’après.

Pourtant, les experts en cybersécurité ont des outils qui leur permettent de gérer l’ambigüité des cygnes noirs et de les prédire. Je souhaite vous parler de l’un d’entre eux : YARA.

L’équipe GReAT de Costin Raiu a examiné les e-mails de Hacking Team et a établi une règle YARA, capable de détecter un exploit zero-day, à partir de presque rien

Pour faire simple, YARA aide à rechercher et détecter un malware en identifiant les fichiers qui répondent à certains critères et en adoptant une approche qui repose sur des règles afin de décrire les familles de malware selon leurs modèles textuels ou binaires. Tout cela semble bien compliqué. Continuez à lire, vous allez comprendre. Cet outil est donc utilisé pour rechercher des malwares similaires après avoir identifié un modèle. L’objectif est de pouvoir dire que certains programmes malveillants semblent avoir été inventés par les mêmes cybercriminels et à des fins similaires.

Utilisons une autre métaphore, comme celle du cygne noir et avec de l’eau : la mer.

Imaginons que votre réseau est l’océan, avec des milliers de poissons différents, et que vous êtes un pêcheur parti au large sur son bateau qui lance d’énormes filets dérivants pour pêcher. Attention, seules quelques espèces de poissons vous intéressent : les malwares créés par un groupe spécifique de pirates informatiques. Votre filet dérivant est spécial maintenant. Il dispose de plusieurs compartiments et seuls les poissons d’une espèce en particulier (caractéristiques du malware) peuvent être mis dans le compartiment correspondant.

Lorsque vous remontez le filet vous avez beaucoup de poissons, tous compartimentés. Certains sont relativement récents, d’autres sont tout à fait inédits (nouveaux échantillons de malware) et vous ne savez pas grand-chose de ces exemplaires. Pourtant, vous avez des poissons dans des compartiments, par exemple « Ressemble à l’espèce [du groupe de cybercriminels] X » ou « Ressemble à l’espèce [du groupe de cybercriminels] Y ».

Voici un article qui illustre la métaphore du poisson et du pêcheur. En 2015, notre gourou YARA et directeur de GReAT, Costin Raiu, s’est complètement transformé en Sherlock Holmes de l’informatique pour trouver un exploit dans le logiciel Silverlight de Microsoft. Je vous conseille vivement de lire cet article mais, en résumé, Raiu a minutieusement examiné certains échanges d’e-mails que les cybercriminels ont divulgués pour établir une règle YARA à partir de presque rien, et c’est ainsi qu’il a pu trouver l’exploit et protéger le monde entier d’un très gros problème. Les e-mails avaient été envoyés par une entreprise italienne qui s’appelle Hacking Team… Des cybercriminels qui piratent d’autres cybercriminels !

Revenons-en aux règles YARA…

Les particpants reçoivent un certificat à la fin du cours qui confirme leur nouveau statut de ninja YARA. Certains nous ont dit que cette formation les a vraiment aidés dans leur carrière professionnelle

Nous enseignons l’art de la création des règles YARA depuis des années. Les cybermenaces que YARA nous a permis de découvrir sont assez complexes. C’est pourquoi ce cours est toujours présentiel, hors-ligne, et réservé à un nombre réduit de participants qui sont les meilleurs chercheurs en cybersécurité. Depuis mars, et à cause du confinement, il n’a pas été facile d’organiser une formation dans le monde réel. Le besoin de se former n’a pas pour autant disparu et l’intérêt porté à nos cours n’a pas diminué.

C’est tout naturel : les cybercriminels ne cessent d’imaginer de nouvelles attaques encore plus sophistiquées, surtout pendant la quarantaine. Par conséquent, il était tout simplement inacceptable de ne pas partager nos connaissances spécialisées sur YARA. Nous avons donc (1) adapté le format de la formation pour qu’elle puisse être faite en ligne et (2) l’avons rendue accessible à tout le monde. Elle n’est pas gratuite mais le prix est très compétitif et au niveau du marché pour un cours de ce niveau-là (le plus élevé).

Le voilà :

En lire plus :Apprenez à utiliser les règles YARA : comment prédire les cygnes noirs