Apprenez à utiliser les règles YARA : comment prédire les cygnes noirs

Il y a bien longtemps que l’humanité n’avait pas connu une telle année. Il ne me semble pas avoir vécu une année avec autant de cygnes noirs de types et de formes si différents. Il est évident que je ne parle pas de ceux qui ont des plumes. Il s’agit plutôt d’événements inattendus qui ont des conséquences considérables, selon la théorie de Nassim Nicholas Taleb que ce dernier a présenté dans son livre Le Cygne noir: La puissance de l’imprévisible en 2007. Un des principes de cette théorie est, qu’avec le recul, les événements surprenants qui se sont déjà produits s’avèrent être évidents et prévisibles. Pourtant, personne ne les avait anticipés avant qu’ils n’aient lieu.

Les experts en cybersécurité peuvent gérer l’ambigüité des cygnes noirs et les prédire grâce à YARA

Prenons un exemple : cet épouvantable virus qui a mis le monde entier en quarantaine depuis mars. Il s’avère qu’il existe toute une grande famille de Coronaviridae, plusieurs dizaines, et qu’on en trouve régulièrement de nouvelles mutations. Les chats, les chiens, les oiseaux ou encore les chauves-souris. Tous attrapent ce virus. Les humains aussi. Certains virus ne causent qu’un simple rhume alors que d’autres se manifestent… différemment. Il ne fait aucun doute que nous devons trouver un vaccin pour toute cette famille comme nous l’avons fait pour toutes les autres maladies mortelles : variole, polio, etc. Oui, mais avoir un vaccin n’est pas toujours la solution. Regardez la grippe… il n’y a aucun vaccin immunisant et ce depuis combien de siècles maintenant ? Quoi qu’il en soit, avant de commencer à développer un vaccin vous devez savoir ce que vous recherchez et il semblerait que cela relève plus de l’art que de la science.

Pourquoi est-ce que je vous raconte tout cela ? Quel est le lien… Il s’agit forcément de cybersécurité ou d’un voyage exotique, n’est-ce pas ?! Aujourd’hui, nous allons nous concentrer sur le premier élément.

Les zero-day sont une des cybermenaces existantes les plus dangereuses : ces vulnérabilités de logiciel rares et inconnues (pour les experts en cybersécurités et autres) peuvent causer d’importants et d’atroces dégâts à grande échelle, et ont tendance à rester cachées jusqu’à ce qu’elles soient exploitées, ou à n’être découvertes qu’après.

Pourtant, les experts en cybersécurité ont des outils qui leur permettent de gérer l’ambigüité des cygnes noirs et de les prédire. Je souhaite vous parler de l’un d’entre eux : YARA.

L’équipe GReAT de Costin Raiu a examiné les e-mails de Hacking Team et a établi une règle YARA, capable de détecter un exploit zero-day, à partir de presque rien

Pour faire simple, YARA aide à rechercher et détecter un malware en identifiant les fichiers qui répondent à certains critères et en adoptant une approche qui repose sur des règles afin de décrire les familles de malware selon leurs modèles textuels ou binaires. Tout cela semble bien compliqué. Continuez à lire, vous allez comprendre. Cet outil est donc utilisé pour rechercher des malwares similaires après avoir identifié un modèle. L’objectif est de pouvoir dire que certains programmes malveillants semblent avoir été inventés par les mêmes cybercriminels et à des fins similaires.

Utilisons une autre métaphore, comme celle du cygne noir et avec de l’eau : la mer.

Imaginons que votre réseau est l’océan, avec des milliers de poissons différents, et que vous êtes un pêcheur parti au large sur son bateau qui lance d’énormes filets dérivants pour pêcher. Attention, seules quelques espèces de poissons vous intéressent : les malwares créés par un groupe spécifique de pirates informatiques. Votre filet dérivant est spécial maintenant. Il dispose de plusieurs compartiments et seuls les poissons d’une espèce en particulier (caractéristiques du malware) peuvent être mis dans le compartiment correspondant.

Lorsque vous remontez le filet vous avez beaucoup de poissons, tous compartimentés. Certains sont relativement récents, d’autres sont tout à fait inédits (nouveaux échantillons de malware) et vous ne savez pas grand-chose de ces exemplaires. Pourtant, vous avez des poissons dans des compartiments, par exemple « Ressemble à l’espèce [du groupe de cybercriminels] X » ou « Ressemble à l’espèce [du groupe de cybercriminels] Y ».

Voici un article qui illustre la métaphore du poisson et du pêcheur. En 2015, notre gourou YARA et directeur de GReAT, Costin Raiu, s’est complètement transformé en Sherlock Holmes de l’informatique pour trouver un exploit dans le logiciel Silverlight de Microsoft. Je vous conseille vivement de lire cet article mais, en résumé, Raiu a minutieusement examiné certains échanges d’e-mails que les cybercriminels ont divulgués pour établir une règle YARA à partir de presque rien, et c’est ainsi qu’il a pu trouver l’exploit et protéger le monde entier d’un très gros problème. Les e-mails avaient été envoyés par une entreprise italienne qui s’appelle Hacking Team… Des cybercriminels qui piratent d’autres cybercriminels !

Revenons-en aux règles YARA…

Les particpants reçoivent un certificat à la fin du cours qui confirme leur nouveau statut de ninja YARA. Certains nous ont dit que cette formation les a vraiment aidés dans leur carrière professionnelle

Nous enseignons l’art de la création des règles YARA depuis des années. Les cybermenaces que YARA nous a permis de découvrir sont assez complexes. C’est pourquoi ce cours est toujours présentiel, hors-ligne, et réservé à un nombre réduit de participants qui sont les meilleurs chercheurs en cybersécurité. Depuis mars, et à cause du confinement, il n’a pas été facile d’organiser une formation dans le monde réel. Le besoin de se former n’a pas pour autant disparu et l’intérêt porté à nos cours n’a pas diminué.

C’est tout naturel : les cybercriminels ne cessent d’imaginer de nouvelles attaques encore plus sophistiquées, surtout pendant la quarantaine. Par conséquent, il était tout simplement inacceptable de ne pas partager nos connaissances spécialisées sur YARA. Nous avons donc (1) adapté le format de la formation pour qu’elle puisse être faite en ligne et (2) l’avons rendue accessible à tout le monde. Elle n’est pas gratuite mais le prix est très compétitif et au niveau du marché pour un cours de ce niveau-là (le plus élevé).

Le voilà :

En lire plus :Apprenez à utiliser les règles YARA : comment prédire les cygnes noirs

Cybersécurité : la nouvelle dimension de la qualité automobile

Il semblerait que beaucoup de personnes pensent que les véhicules du 21ème siècle sont des dispositifs mécaniques. Il est vrai qu’un peu d’électronique a été ajouté pour une raison ou pour une autre, et que certains modèles en ont plus que d’autres mais, en fin de compte, ce travail relève du génie mécanique : châssis, moteur, roues, volant, pédales… L’électronique, qui s’avère parfois être un ordinateur, ne fait qu’aider tout le mécanisme. C’est son devoir puisque de nos jours les tableaux de bord sont un océan de données numériques avec seulement quelques affichages analogiques.

Bon, je vais être clair : les choses sont bien différentes !

De nos jours, une voiture est un ordinateur spécialisé, un « cyber-cerveau », qui contrôle les aspects mécaniques et électroniques que nous avions pour habitude d’associer au mot « voiture » : le moteur, les freins, les clignotants, les essuie-glaces, la climatisation et tout le reste.

Avant, par exemple, le frein à main était 100 % mécanique. Vous tiriez d’un coup sec, avec votre « main » (difficile à croire ?!) et il grinçait, tout comme vous. De nos jours, vous appuyez sur un bouton. 0 % de mécanique. Contrôle par ordinateur à 100 %. Il en est de même avec presque tous les éléments.

Ensuite, beaucoup pensent qu’un véhicule autonome est une voiture conduite par un ordinateur. Pourtant, s’il y a quelqu’un au volant de cette nouvelle voiture alors c’est cette personne qui conduit (et non l’ordinateur). « Bien sûr, ne soyons pas ridicule ! »

Je dois encore corriger cette affirmation : ce n’est pas comme ça !

Avec la plupart des véhicules modernes actuels, la seule différence entre les autonomes et ceux conduits par un humain sont que, dans ce dernier cas, l’humain contrôle les ordinateurs de bord. Lorsqu’il s’agit d’un véhicule autonome, les différents ordinateurs de la voiture sont contrôlés par un ordinateur principal, central et très intelligent, développé par des entreprises comme Google, Yandex, Baidu ou Cognitive Technologies. L’ordinateur reçoit la destination, observe tout ce qui se passe autour de lui et décide comment se rendre jusqu’à la destination (à quelle vitesse, en suivant quel itinéraire, etc. selon des algorithmes super-intelligents mis à jour chaque nanoseconde).

Courte histoire de la numérisation des véhicules à moteur

Quand sommes-nous passés de la mécanique au numérique ?

Certains experts dans ce domaine estiment que l’informatisation de l’industrie automobile a commencé en 1955, lorsque Chrysler proposait un transistor en option sur un de ses modèles. D’autres, qui pensaient que la radio n’était pas vraiment une caractéristique automobile, considèrent que ce fut l’introduction de l’allumage électronique, de l’ABS ou des systèmes électroniques de commande du moteur qui ont amené l’informatisation automobile (par Pontiac, Chrysler et GM en 1963, 1971 et 1979 respectivement).

Peu importe quand ce processus a commencé, ce qui s’en est suivi a été peu différent : encore plus d’électronique. Puis les choses sont devenues de plus en plus numérique et il a été de plus en plus difficile de faire la distinction entre ces deux aspects. Pour ma part, je considère que la révolution numérique des technologies automobiles a commencé en février 1986 lorsque, lors de la convention de la Society of Automotive Engineers, l’entreprise Robert Bosch GmbH a présenté au monde son protocole de réseau numérique pour que les composants électroniques de la voiture puissent communiquer : le bus de données CAN (controller area network). Il faut dire ce qui est : le protocole inventé par ces ingénieurs de Bosch est encore pertinent de nos jours et utilisé par presque n’importe quel véhicule dans le monde !

En lire plus :Cybersécurité : la nouvelle dimension de la qualité automobile

Flickr photostream

  • Sochi / Sep 2020
  • Sochi / Sep 2020
  • Sochi / Sep 2020
  • Sochi / Sep 2020

Instagram

Vos jeux consomment beaucoup de ressources ? Découvrez notre mode Jeux.

Il y a presque 30 ans, en 1993, la première incarnation du jeu culte sur ordinateur Doom sortait. C’est grâce à lui que les quelques propriétaires d’un ordinateur de bureau (imaginez la situation !) ont découvert que la meilleure façon de se protéger contre les monstres c’est en utilisant un fusil et une tronçonneuse. Les jeux vidéo ne m’ont jamais vraiment passionné (je n’avais pas assez de temps, j’étais bien trop occupé). Pourtant, de temps à autre, après une longue journée de travail, certains collègues et moi-même jouions pendant près d’une heure à des jeux de tir à la première personne, et nous étions tous connectés à notre réseau local. Je me souviens même du tournoi de Duke Nukem organisé au sein de l’entreprise. Nous parlions du classement pendant la pause repas à la cantine et nous pariions sur le vainqueur ! Ainsi, les jeux vidéo n’étaient jamais loin.

Pendant ce temps, nous avons lancé notre antivirus ; une solution complète avec des cris de cochon (activez les sous-titres en français en cliquant en bas à droite de la vidéo) pour effrayer les monstres informatiques les plus redoutables. Les trois premières versions se sont bien déroulées. Puis il y a eu la quatrième, avec de nouvelles technologies merveilleuses qui luttaient contre les cybermenaces complexes, mais nous n’avions pas assez bien pensé l’architecture et nous ne l’avions pas assez testée. Le principal problème était la façon dont cet antivirus accaparait les ressources et ralentissait l’ordinateur. À cette époque, les logiciels, et surtout les jeux vidéo, avaient besoin de plus de ressources jour après jour. La dernière chose dont les utilisateurs avaient besoin étaient un antivirus qui saturait le processeur et la mémoire RAM.

Nous devions agir vite. C’est ce que nous avons fait. Deux ans plus tard nous avons lancé notre légendaire sixième version, qui a battu tout le monde en termes de vitesse (fiabilité et flexibilité). Cela fait maintenant 15 ans que nos solutions figurent parmi les meilleures en performance.

Chassez le naturel, il revient au galop. Ce problème temporaire qui affectait les performances de l’ordinateur est devenu un mythe et certains y croient encore aujourd’hui. Nos concurrents ont été ravis de voir cette légende prendre… des proportions mythiques. Nous l’étions beaucoup moins.

En lire plus :Vos jeux consomment beaucoup de ressources ? Découvrez notre mode Jeux.

Top 5 des technologies K qui nous ont permis de figurer parmi les 100 entreprises les plus innovantes du monde !

Nous avons encore réussi. Nous figurons pour la deuxième fois dans le Top 100 des entreprises les plus innovantes à l’international de Derwent, une liste prestigieuse d’entreprises internationales établie en fonction de leur portefeuille de brevets. Je dis prestigieuse puisque ce classement nous permet de côtoyer certaines entreprises comme Amazon, Facebook, Google, Microsoft, Oracle, Symantec ou encore Tencent. Cette liste n’est pourtant pas une simple sélection des entreprises qui semblent avoir de l’importance et utiliser les brevets de façon intelligente ; elle repose sur le travail analytique et titanique de Clarivate Analytics qui a évalué plus de 14 000 ( ! ) entreprises candidates, selon différents critères, le plus important étant le taux de citations ou, en d’autres termes, l’  » influence « . Et si cela n’était pas suffisant, en cinq ans le seuil minimal à atteindre en termes d’influence pour figurer dans le top 100 a augmenté de 55 % :

Pour être un peu plus précis, le taux de citations est l’influence des inventions sur les innovations d’autres entreprises. Dans notre cas, il s’agit de voir à quelle fréquence les autres inventeurs nous mentionnent dans leurs brevets. Si une autre entreprise vous mentionne officiellement dans son brevet alors cela signifie que vous avez inventé quelque chose de nouveau, réellement innovant et utile qui aide l’entreprise en question à proposer  » quelque chose de nouveau, réellement innovant et utile « . Il est évident qu’un tel système de reconnaissance du travail d’autres innovateurs n’accorde aucune place à ceux qui présentent de simples copies de brevets. Voilà pourquoi ces brevets ne peuvent en aucune façon figurer dans ce top 100. En attendant, nous, nous y sommes. Nous figurons dans le top 100 des entreprises internationales innovantes qui font vraiment avancer les choses en technologie.

Ouah, quel honneur. C’est comme si on nous félicitait pour tout notre dur labeur. Une véritable reconnaissance de nos contributions. Hourra !

Nous sommes encore sous le choc, et euphoriques, mais en tant que petit curieux, je me suis demandé quelles sont les cinq technologies brevetées les plus mentionnées, et donc les plus influentes. Je me suis penché sur la question et voilà ce que j’ai découvert…

En lire plus :Top 5 des technologies K qui nous ont permis de figurer parmi les 100 entreprises les plus innovantes du monde !

Un système d’alerte précoce pour les cyber-gardes (alias Adaptive Anomaly Control – contrôle des anomalies adaptatif)

Le plus probable, si vous travaillez normalement dans un bureau, c’est que votre bureau soit actuellement plutôt ou totalement vide, juste comme le nôtre. Dans notre siège, vous ne verrez que quelques gardes de sécurité, et le seul bruit que vous entendrez sera le bourdonnement des systèmes de refroidissement de nos serveurs lourdement chargés, étant donné que tout le monde est branché et travaille depuis chez soi.

Vous n’imaginez pas que, sans être vus, nos technologies, nos experts et nos produits travaillent 24 heures sur 24 et 7 jours sur 7 pour protéger le cybermonde. Mais c’est le cas. Cependant, les méchants préparent en même temps de nouveaux tours de passe-passe. Heureusement, nous disposons d’un système d’alerte précoce dans notre collection d’outils de cyberprotection. Mais j’y reviendrai dans un instant…

Le rôle d’un responsable de la sécurité informatique ressemble en quelque sorte à celui d’un garde forestier : pour attraper les braconniers (malwares) et neutraliser la menace qu’ils représentent pour les habitants de la forêt, il faut d’abord les trouver. Bien sûr, vous pouvez simplement attendre que le fusil d’un braconnier se déclenche et courir vers l’endroit d’où provient le son, mais cela n’exclut pas la possibilité que vous arriviez trop tard et que la seule chose que vous puissiez faire soit de nettoyer les dégâts.

Vous pourriez devenir complètement paranoïaque en plaçant des capteurs et des caméras vidéo partout dans la forêt, mais vous pourriez alors vous retrouver à réagir à chaque bruissement capté (et bientôt à perdre le sommeil… et la tête). Mais lorsque vous réalisez que les braconniers ont appris à très bien se cacher, et en fait, à ne laisser aucune trace de leur présence, il devient alors évident que l’aspect le plus important de la sécurité est la capacité à séparer les événements suspects des événements réguliers et inoffensifs.

De plus en plus, les cyberbraconniers de notre époque se camouflent à l’aide d’outils et d’opérations parfaitement légitimes.

Quelques exemples : l’ouverture d’un document dans Microsoft Office, l’octroi d’un accès à distance à un administrateur système, le lancement d’un script dans PowerShell et l’activation d’un mécanisme de cryptage des données. Ensuite, il y a aussi la nouvelle vague de malwares sans fichiers qui ne laissent aucune trace sur un disque dur, ce qui limite sérieusement l’efficacité des approches traditionnelles de la protection.

Exemples : (i) L’acteur de menaces Platinum a utilisé des technologies sans fichier pour accéder à des ordinateurs d’organisations diplomatiques (ii) des documents de bureau avec une charge utile malveillante ont été utilisés pour des infections de phishing dans les opérations de l’APT de DarkUniverse ; et il y a encore bien d’autres cas. Un autre exemple : le crypteur sans fichier  » Mailto  » (alias Netwalker), qui utilise un script PowerShell pour charger le code malveillant directement dans la mémoire des processus système de confiance.

Maintenant, si la protection traditionnelle n’est pas à la hauteur, il est possible d’essayer d’interdire aux utilisateurs toute une série d’opérations, et d’introduire des politiques strictes sur l’accès et l’utilisation des logiciels. Cependant, dans ce cas, les utilisateurs et les méchants finiront probablement par trouver des moyens de contourner les interdictions (tout comme la prohibition de l’alcool a toujours été contournée).

Il vaudrait beaucoup mieux trouver une solution permettant de détecter les anomalies dans les processus standard et d’en informer l’administrateur du système. Mais l’essentiel est qu’une telle solution apprenne à déterminer automatiquement et précisément le degré de  » suspicion  » des processus dans toute leur diversité, afin de ne pas tourmenter l’administrateur du système en criant constamment au loup !

Eh bien, vous l’avez deviné ! Nous avons une solution de ce type : Adaptive Anomaly Control, un service construit sur trois composants principaux – des règles, des statistiques et des exceptions.

En lire plus :Un système d’alerte précoce pour les cyber-gardes (alias Adaptive Anomaly Control – contrôle des anomalies adaptatif)

Les années du cyberpassé – partie 8 : 1998-2000 (trois grandes premières : restructuration, bureaux à l’étranger, conférence des partenaires).

Les premières années après la création de l’entreprise ont été les plus difficiles de toutes, car nous avons vraiment dû mettre les bouchées doubles, et presque nous tuer à la tâche. C’était comme si nous comprimions un ressort pour qu’il ne soit libéré que plus tard afin de faire monter la société haut et loin, au-delà de l’horizon et dans la bonne direction pour réaliser nos rêves fous (faites attention aux rêves vous que vous avez :)). Après l’enregistrement officiel de KL en 1997, nous avons fait beaucoup de choses avec très peu de moyens. Nous n’avions pas d’argent et presque pas de ressources, mais la cybersécurité n’attend personne : de nouvelles technologies étaient nécessaires et le marché exigeait de nouveaux produits. Nous avons donc travaillé dur, la plupart des week-ends, et presque sans jamais prendre de vacances. Alors, sur quoi travaillions-nous ? Voici un exemple…

Juin 1998 : l’épidémie globale du virus Tchernobyl (CIH) Tous les autres antivirus ne l’ont pas remarquée ou ne s’en sont pas préoccupés, ou étaient en vacances ; nous étions presque les seuls à avoir un produit qui non seulement attrapait le virus, mais soignait aussi les systèmes infectés par cet agent pathogène. Le web (ce n’était déjà plus seulement Runet:)) était bourré de liens vers notre site C’est ainsi que nos réactions ultra-rapides aux nouvelles menaces et notre capacité à lancer des mises à jour rapides avec des procédures de traitement de menaces spécifiques ont été récompensées. Alors que cette menace virale spécifique s’installait de manière incroyablement astucieuse dans la mémoire de Windows, attrapait les appels d’accès aux fichiers et infectait les fichiers exécutables il a fallu un processus de dissection personnalisé qui aurait été impossible à mettre en œuvre sans la flexibilité des mises à jour.

Donc oui, nous obtenions de bons résultats et nous progressions. Et puis, deux mois plus tard, nous avons reçu un coup de main (du destin ?!) des plus inattendus…

Août 1998 : la crise financière russe, avec la dévaluation du rouble, et le défaut de paiement de la Russie sur sa dette. Dans l’ensemble, c’était quelque chose de négatif pour la plupart des Russes, mais nous avons eu beaaaaaucoup de chance : tous nos partenaires étrangers nous payaient d’avance en devises étrangères. Nous étions exportateurs. Notre monnaie de fonctionnement était un rouble fortement dévalué ; et nos revenus des dollars, livres sterling, yens, etc. Nous étions riches !

Mais nous ne nous sommes pas reposés sur nos lauriers et notre coup de chance en pleine crise financière. Nous avons utilisé cette période pour embaucher de nouveaux managers professionnels (et donc chers !). Rapidement, nous avons eu des directeurs financiers, techniques et commerciaux. Et un peu plus tard, nous avons commencé à embaucher des cadres intermédiaires. C’était notre toute première  » restructuration  » – lorsque  » l’équipe  » est devenue une  » entreprise  » ; lorsque les relations amicales et organiques ont été remplacées par une structure organisationnelle, des subordinations et une responsabilité plus formelles. La restructuration aurait pu être douloureuse ; heureusement, elle ne l’a pas été : nous nous en sommes simplement sortis sans trop de nostalgie de notre époque  » familiale « .

// Pour tout savoir sur ce type de restructuration / réorganisation dentreprise, je recommande fortement le livre Reengineering the Corporation par Michael Hammer et James Champy. Il est excellent. Vous pouvez trouver dautres livres ici.

En 1999, nous avons ouvert notre première filiale à létranger à Cambridge, au Royaume-Uni. Mais pourquoi, alors que le marché britannique est peut-être l’un des plus difficiles à pénétrer pour les étrangers ? En fait, c’était un peu par hasard (je vous raconte tout ensuite). Mais il fallait bien commencer quelque part, et de toute façon, nos premières expériences – y compris les nombreuses erreurs et leçons apprises – au Royaume-Uni ont contribué à faciliter le développement des affaires dans d’autres pays…

Notre toute première tournée de presse a eu lieu à Londres, puisque nous étions de toute façon dans la capitale britannique pour une conférence sur la sécurité informatique (InfoSecurity Europe). Lors de cette tournée de presse, nous avons fièrement annoncé notre intention d’ouvrir un bureau au Royaume-Uni. Les journalistes se demandaient simplement pourquoi, étant donné que Sophos, Symantec, McAfee, etc. étaient déjà confortablement installés dans le pays. Nous sommes donc passés en mode geek : nous leur avons tout dit sur le caractère véritablement innovant de notre entreprise, sur nos technologies et produits uniques et sur le fait que – grâce à eux – nous sommes meilleurs que tous les concurrents qu’ils venaient de mentionner. Tout cela a été noté avec un intérêt très surprenant (et un autre bonus : depuis lors, on ne nous a jamais posé de questions vraiment stupides !) Pendant ce temps, à InfoSecurity Europe, j’ai fait mon tout premier discours devant un public anglophone composé de… deux journalistes, qui se sont avérés être nos amis de Virus Bulletin qui en savaient déjà beaucoup sur nous ! C’était cependant la première (et la dernière) fois que nos présentations ne faisaient pas salle combe (au fait : plus de détails ici).

En ce qui concerne notre toute première conférence des partenaires, voici comment cela s’est passé…

Au cours de l’hiver 1998-1999, nous avons été invités à la conférence de notre partenaire OEM F-Secure (Data Fellows). C’est ainsi que nous avons découvert le format de la conférence des partenaires et l’idée formidable qu’elle représente : rassembler tout le monde, partager les dernières informations sur les technologies et les produits, écouter les préoccupations et les problèmes des partenaires et discuter de nouvelles idées. Nous ne sommes pas du genre à traîner – en un an (en 1999), nous avons organisé notre propre conférence de partenaires, en invitant à Moscou une quinzaine de partenaires d’Europe, des États-Unis et du Mexique. Nous voici tous réunis sur la place de la Révolution, à côté de la Place Rouge et du Kremlin :

En lire plus :Les années du cyberpassé – partie 8 : 1998-2000 (trois grandes premières : restructuration, bureaux à l’étranger, conférence des partenaires).

Jouer à cache-cache avec des malwares sans fichiers

Le code malveillant s’infiltre partout…

C’est un peu comme un gaz, qui remplit toujours l’espace dans lequel il se trouve : il passera toujours par les  » trous  » (vulnérabilités) d’un système informatique. Notre travail (enfin, l’une de nos tâches) consiste donc à trouver ces trous et à les boucher. Notre objectif est de faire cela de manière proactive ; c’est-à-dire, avant que le malware ne les retrouve. Et s’il en détecte, nous sommes là, prêts à le repousser.

En fait, c’est la protection proactive et la capacité à prévoir les actions des attaquants et à créer une barrière à l’avance qui distinguent une cybersécurité de haute technologie vraiment excellente du simple marketing.

Aujourd’hui, je voudrais vous parler d’une autre façon dont notre action proactive protège contre un autre type de malware, particulièrement rusé. Oui, je veux vous parler de ce qu’on appelle le code malveillant sans fichier (et donc sans  » corps « ) : une dangereuse race de malwares fantômes qui ont appris à utiliser les inconvénients architecturaux de Windows pour infecter les ordinateurs. Et aussi de notre technologie brevetée qui lutte contre cette cyber-maladie bien particulière. Et je le ferai comme vous l’aimez : des choses complexes expliquées simplement, de manière légère et captivante comme dans un cyber-thriller avec des éléments de suspense ;).

Tout d’abord, que veut dire sans fichier ?

Eh bien, le code sans fichier, une fois introduit dans un système informatique, ne crée pas de copies de lui-même sous forme de fichiers sur le disque, évitant ainsi la détection par les méthodes traditionnelles, par exemple avec un moniteur antivirus.

Alors, comment un tel  » malware fantôme  » existe-t-il à l’intérieur d’un système ? Eh bien, il réside dans la mémoire de processus fiable ! Eh oui ! Beurk !

Dans Windows (et pas seulement dans Windows, en fait), il y a toujours eu la possibilité d’exécuter du code dynamique, notamment utilisé pour la Compilation juste à temps. Cela consiste en la transformation d’un code de programme en code machine non pas immédiatement, mais au fur et à mesure des besoins. Cette approche améliore la vitesse d’exécution de certaines applications. Et pour prendre en charge cette fonctionnalité, Windows permet aux applications de placer du code dans la mémoire de processus (ou même dans une autre mémoire de processus fiable) et de l’exécuter.

Ce n’est pas vraiment une bonne idée du point de vue de la sécurité, mais bon… C’est comme ça que des millions d’applications écrites dans Java, .NET, PHP, Python et autres langages et pour d’autres plateformes fonctionnent depuis des décennies.

Comme on pouvait s’y attendre, les criminels du web ont profité de la possibilité d’utiliser du code dynamique, en inventant diverses méthodes pour en abuser. Et l’une des méthodes les plus pratiques et donc les plus répandues qu’ils utilisent est ce qu’on appelle l’injection de PE par réflexion. La quoi ? Laissez-moi expliquer (c’est plutôt intéressant, restez avec moi !)

Lancer une demande en cliquant sur son icône est assez simple et direct, non ? En fait, cela semble simple, mais sous le capot, il y a toutes sortes de choses qui se passent : un chargeur système est appelé, qui prend le fichier respectif sur le disque, le charge dans la mémoire et l’exécute. Et ce processus standard est contrôlé par des moniteurs antivirus, qui vérifient la sécurité de l’application à la volée.

Lorsqu’il y a une  » réflexion « , cependant, le code est chargé en contournant le chargeur du système (et donc en contournant également le moniteur antivirus). Le code est placé directement dans la mémoire d’un processus fiable, créant ainsi une  » réflexion  » du module exécutable original. Cette réflexion peut être exécutée comme un véritable module chargé par une méthode standard, mais elle n’est pas enregistrée dans la liste des modules et, comme mentionné ci-dessus, elle n’a pas de fichier sur le disque.
 
De plus, contrairement aux autres techniques d’injection de code (par exemple, via le shellcode), l’injection par réflexion permet de créer du code fonctionnellement avancé dans des langages de programmation de haut niveau et des cadres de développement standard, sans aucune limitation ou presque. Le résultat : (i) pas de fichiers, (ii) une dissimulation derrière un processus fiable, (iii) l’invisibilité face aux technologies de protection traditionnelles, et (iv) le champ libre pour faire des ravages.

Alors, bien entendu les injections par réflexion ont eu un succès fou auprès des développeurs de code malveillant : Ils sont d’abord apparus dans des packs d’exploitation. Ensuite, des cyber-espions ont fait leur apparition (par exemple, Lazarus etTurla), puis des cybercriminels avancés (comme c’est une façon utile et légitime d’exécuter un code complexe !), puis de petits cybercriminels.

Maintenant, du côté des antivirus, trouver une telle infection sans fichier, c’est comme chercher une aiguille dans une cyber-botte de foin. Pas étonnant que la plupart des marques de cybersécurité ne s’en sortent pas trop bien. Certaines touchent à peine à ce type de problèmes.

En lire plus :Jouer à cache-cache avec des malwares sans fichiers

Les années du cyberpassé – partie 7 : 1997 fondation de Kaspersky Lab (mon Lab !)

Me voilà de retour avec plus de cyber-nostalgie K… Cet article porte sur une année très spéciale pour l’entreprise : celle de sa création ! Comme vous pouvez le voir sur le certificat d’immatriculation de notre entreprise, elle a été fondée le 26 juin 1997 :

Et c’est pour ça que nous faisons notre super-méga-fête d’anniversaire annuelle tous les mois de juin juillet (ne me demandez pas pourquoi, et puis, qu’est-ce que ça va changer, un mois de plus ou un mois de moins ?) Cette année est la seule où nous n’avons rien fait. C’est bien dommage. Mais nous n’avons pas le choix.

En lire plus :Les années du cyberpassé – partie 7 : 1997 fondation de Kaspersky Lab (mon Lab !)

Kaspersky Exploring Russia : tourisme ÷ confinement × accélérateur = la combinaison gagnante !

À la mi-printemps de cette année, au cœur de la période « personne ne sort », il était évident que le tableau était des plus sombres pour le monde entier et que les choses n’allaient pas changer de sitôt. Les entreprises seraient durement touchées, c’est le moins que l’on puisse dire, et le tourisme serait dévasté puisque plus d’une entreprise ne survivrait pas à cette crise. À K, nous avons fait ce que nous faisons souvent toujours, à savoir faire travailler nos méninges, et nous avons décidé… d’aider le secteur le plus affecté.

J’ai annoncé début mai que les inscriptions à l’accélérateur de tourisme « Kaspersky Exploring Russia » étaient ouvertes. Je n’avais pas imaginé que nous recevrions plus de 500 candidatures provenant de 47 pays (près d’un quart de tous les pays du monde) et des cinq continents (en avant l’Antarctique !). En les analysant, je me suis rendu compte du potentiel qu’abrite le tourisme : tellement d’idées, de start-ups incroyables et de projets en cours. Il n’y avait aucune restriction géographique : les participants pouvaient s’inscrire depuis n’importe où (c’est ce qu’ils ont fait), et ils devaient décrire leurs idées pour exploiter le potentiel touristique de la Russie ou pour les mettre en place en Russie. Nous avons étudié toutes les candidatures et avons retenu les 10 meilleures idées. Ces 10 projets ont intégré notre programme d’accélération.

Les 10 participants ont assisté à des cours et des conférences en ligne pendant deux semaines. Chaque équipe avait toute une série de rendez-vous spécialement pensés avec son tuteur. Certains experts du tourisme ont partagé leurs expériences et leur savoir-faire avec les participants pour les aider à avoir une entreprise prospère. Parmi les tuteurs, on trouvait notamment Vikas Bhola, directeur régional de Booking.com, Gemma Rubio, fondatrice de Define the Fine, Vadim Mamontov, directeur général de Russia Discovery et bien d’autres experts. Les participants ont également profité de ces deux semaines pour peaufiner leurs présentations, qu’ils ont remises au jury dont je faisais partie.

Les finalistes ont présenté leur projet la semaine dernière et ont répondu à nos questions lors de la journée finale de démonstration de l’accélérateur. Nous avons choisi trois vainqueurs qui ont reçu les prix offerts par nos partenaires. Laissez-moi vous parler un peu de chacun d’eux…

Le premier prix a été attribué à 360 Stories. Il s’agit d’une application mobile de réalité augmentée avec un vrai guide. Ils disent que leur mission est de « moderniser les visites guidées traditionnelles en proposant des visites interactives et en temps réel réalisées par de vrais guides ». Avec 360 Stories les visiteurs peuvent désormais flâner dans leurs villes préférées et visiter les sites touristiques en s’inscrivant à une visite personnalisée avec un guide local et en temps réel.

D’ailleurs, 360 Stories a bien failli perdre puisque le responsable ne s’est pas réveillé et ne s’est pas présenté ! Il devait intervenir à 5 h 30 heure locale (New York). À cause de ce créneau horaire très matinal, M. 360 Stories n’a pas entendu son réveil. Il s’est finalement réveillé et a appelé les organisateurs pour leur demander pourquoi il avait 20 appels en absence. Ils allaient tous lui dire qu’il allait gagner mais lui ont finalement demandé où il était passé !

En lire plus :Kaspersky Exploring Russia : tourisme ÷ confinement × accélérateur = la combinaison gagnante !

Cyber-histoires du côté obscur : vulnérabilités inattendues, piratage à la demande et système d’exploitation de SpaceX

Passer le premier mois de l’été en quarantaine : fait. Il semblerait que le monde s’ouvre progressivement mais nous préférons ne pas prendre de risques à K et nous avons décidé de continuer à télétravailler. Cela ne signifie pas pour autant que nous avons perdu en efficacité : nous travaillons toujours aussi bien, d’autant que les cybercriminels n’ont pas été mis au chômage technique. La situation générale des menaces n’a toutefois pas connu de changement majeur ces derniers temps. Comme d’habitude, les pirates informatiques ont tout de même mis au point des cyber-méthodes plutôt étonnantes. Voici certaines de celles que nous avons vues ce dernier mois.

Vulnérabilité zero-day dans le système d’exploitation ‘super-sécurisé’ Tails de Linux

Il ne fait aucun doute que Facebook sait comment dépenser son argent. Il s’avère que l’entreprise a investi un important montant à six chiffres dans la création d’un exploit zero-day pour s’en prendre à une vulnérabilité du système d’exploitation Tails (= Linux, spécialement conçu pour profiter d’une meilleure vie privée) dans le cadre d’une affaire du FBI. Cette action a permis la détention d’un pédophile. Ils savaient depuis un certain temps que cet individu paranoïaque et dérangé utilisait ce système d’exploitation particulièrement sécurisé. Facebook a d’abord utilisé sa capacité à cartographier les comptes pour connecter tous ceux que le criminel avait utilisés. Il a malgré tout été impossible d’obtenir une adresse valide à partir de cette cyber-victoire. Ils ont apparemment demandé le développement d’un exploit pour une application de lecteur vidéo. Ce choix était judicieux puisque le prédateur sexuel demandait à ses victimes de lui envoyer des vidéos et qu’il les regardait sûrement sur son ordinateur.

Il semblerait que la vulnérabilité exploitée n’a pas été signalée aux développeurs de Tails qui ont ensuite répondu qu’elle avait déjà été corrigée. Les employés de l’entreprise ne disent rien à ce sujet mais il est évident que la  » commande d’une vulnérabilité  » n’est pas la meilleure publicité. On espère néanmoins que cet exploit était unique, réservé à ce criminel particulièrement mauvais, et que cela ne va pas se répéter pour un quelconque utilisateur.

Ce qu’il faut en retenir : peu importe à quel point le projet basé sur Linux ce dit super-méga sécurisé, rien ne garantit qu’il n’y ait pas de vulnérabilité. Pour pouvoir revendiquer une telle capacité, la totalité des procédures de travail de base et l’architecture du système d’exploitation doit être restructurée. Hm, oui, en réalité, c’est l’occasion parfaite pour dire bonjour à ça 😊.

En lire plus :Cyber-histoires du côté obscur : vulnérabilités inattendues, piratage à la demande et système d’exploitation de SpaceX