Le darwinisme dans la sécurité informatique, Partie 3 : l’heure de s’occuper des parasites

Salut tout le monde !

Encore un article sur la théorie du plus apte appliquée au monde de la sécurité informatique. Je n’avais pas prévu une trilogie… Ça m’est venu comme ça. Comme une sorte de…

…Une sorte de.., eh bien, le problème des parasites dans le domaine de la sécurité informatique, dont je vais parler aujourd’hui, est un thème auquel je pense depuis plusieurs années. Ce discours sur le darwinisme semblait être la parfaite opportunité pour finalement m’exprimer en toute liberté. Vous allez comprendre ce que je veux dire …

Aujourd’hui mes amis : il s’agit des parasites. Pas ceux contre lesquels nous luttons (les « vrais » méchants) ; mais ceux qui clament aussi lutter contre les hackers (une question philosophique : qu’est ce qui est pire ? :).

De nos jours l’industrie informatique se développe à vitesse grand V. Il y seulement 10-15 ans, les thèmes majeurs se cantonnaient aux antivirus d’ordinateurs de bureaux, aux pare-feux et aux sauvegardes, aujourd’hui il existe des nouvelles solutions de sécurité en masse, ainsi que des nouvelles approches et idées. Parfois, on arrive à prendre une longueur d’avance ; parfois on a du rattrapage à faire. Et il arrive d’autres fois où on tombe des nues. Pas à cause de nouvelles technologies, d’innovations ou de nouvelles idées, mais de l’effronterie assumée et de l’attitude sans scrupules de nos collègues dans l’industrie de la sécurité.

Mais premièrement, laissez-moi vous expliquer comment les évènements se sont déroulés.

Il existe un service très utile, un analyseur de fichiers appelé VirusTotal. Il rassemble près de 60 moteurs antivirus, qu’il utilise pour analyser des fichiers et des URL que les utilisateurs lui envoient pour détecter des malwares et ensuite rendre son verdict.

Exemple : Joe Bloggs découvre une application ou un document suspects sur un disque dur/une clé USB/Internet. Le propre logiciel antivirus de Joe ne signale pas la présence d’un virus. Seulement Joe est le genre de type paranoïaque, il souhaite réellement s’en assurer. Par conséquent, il se rend sur le site de VirusTotal, qui ne dispose pas d’une seule solution antivirus mais d’environ 60. C’est aussi gratuit, ça va de soi. Joe télécharge donc le fichier sur VirusTotal et obtient des informations instantanées sur ce que les différents antivirus en déduisent.

Premièrement, pour clarifier : les gens de VirusTotal et ceux de Google (qui a racheté VirusTotal) sont tous les deux fermement du côté des « mecs bien ». Ils n’ont aucun lien avec les parasites. VirusTotal est dirigé par une équipe très professionnelle, qui depuis des années a accompli son travail de manière extrêmement efficace. (Pas encore convaincus ? Et si je vous dis que VirusTotal a remporté le prix MVP l’année dernière au Security Analyst Summit (SAS) ?) Aujourd’hui, VirusTotal s’est imposé comme un des plus importantes détecteurs d’échantillons de malwares et d’URL malveillantes, et c’est aussi un merveilleux outil archéologique pour détecter des attaques ciblées.

Le problème se trouve avec une poignée d’utilisateurs louches de l’analyseur de fichiers, qui, hélas, deviennent avec audace de plus en plus effrontés dans leur comportement.

Derrière le côté gratuit, ouvert, de service public, VirusTotal dispose d’un service d’abonnement payant via une API, permettant la vérification automatique en temps réel d’une quantité illimitée de fichiers. Et c’est là que les choses commencent à être intéressantes, pour toutes les mauvaises raisons : c’est là que les parasites de la sécurité informatique tendent à s’étaler.

L’adoption de la détection n’est pas une pratique nouvelle. Mais la situation s’est désormais aggravée : tout un écosystème de parasites qui repose sur la gratuité de VirusTotal trompe désormais le public.

Ils observent le verdict de tout le monde et ensuite l’adoptent à leur manière – autrement dit en faisant du plagiat – et pour aller encore plus loin ils utilisent également les noms uniques des verdicts ! On assiste donc à un ensemble de sociétés qui font tout le boulot, tandis que d’autres récoltent les fruits du travail des autres, le maquillent via des buzz marketing aux connotations scientifiques impressionnantes, y déposent leur marque et vendent leurs produits.

« L’adoption » n’est pas un phénomène nouveau. Retour en 2009 où nous avions mené une étude ouverte qui montrait l’ampleur de la catastrophe. Depuis, la situation n’a cessé de s’empirer : des startups ont fondé leur seul modèle d’affaires sur la gratuité de VirusTotal. Investissent-elles dans le développement de technologies et d’infrastructures et paient-elles des experts (les meilleurs) ? Non. Elles se contentent de recycler le travail des autres professionnels, de le renommer et de le revendre, merci. Certes, c’est une situation étrange mais bel et bien légale.

virustotal_nextgen_snakeoil_ENParfois, l’audace des parasites n’a pas de limites, certains même admettent ouvertement utiliser VirusTotal afin de réaliser « leurs » découvertes. Voici un exemple de bêtises marketing écrites étonnement sans honte (voici une copie du document) :

vt_nextget_snake_oil1Pratiquement chaque phrase du paragraphe ci-dessus est une claque involontaire parfois même une double claque. Mais la triple claque vient lors de la phrase soulignée, qui dit en clair « nous utilisons VirusTotal [sic] pour notre détection ».

Ci-dessous un nouvel exemple (voici la copie du document, juste au cas où) :

vt_nextget_snake_oil2Ici, nous avons quelque chose de similaire au premier exemple. Premièrement, le produit réalise des analyses opaques enveloppées dans une analyse comportementale (du vocabulaire tout nouveau tout beau et très à la mode). Ensuite il a recours à l’interface de programmation (API) de VirusTotal –  un endroit « d’interfonctionnement » – et ensuite annonce le verdict à l’utilisateur. En d’autres mots, qu’importe à quel point le résultat de l’Analyse intelligente est génial, leur verdict dépend quand même de l’opinion des autres analyseurs. Quel est le point commun alors de toutes leurs analyses intelligentes ? Bonne question.

Il existe bien plus d’exemples comme ci-dessus, et qui témoignent tous que le vol est devenu la norme dans l’industrie de la sécurité informatique, et à partir de là, tout un écosystème de parasites s’est mis à envahir avec succès (avec succès, c’est-à-dire, difficile de s’en débarrasser) le public. Non, je n’invente pas.

Les parasites critiquent violemment les « méthodes traditionnelles » – des méthodes d’analyse identiques à celles qu’ils adoptent en utilisant VirusTotal.

Les parasites sont tous d’accord sur leur opposition aux « méthodes traditionnelles » (les mêmes méthodes d’analyse qu’ils adoptent via VirusTotal) et sur leur amour pour tout ce qui appartient « au futur » (bien qu’ils n’expliquent pas ce qu’il y a de nouveau dans leur copier-coller des détections et dans l’utilisation de l’intelligence artificielle).

Conclusion : si une entreprise inconnue vous contacte et brandit des termes tels que « next-génération », « analyse comportementale », « intelligence artificielle », etc. avec aucun résultat de tests indépendants permettant de soutenir leurs propos, faites très attention. Les efforts marketing de ces entreprises montrent que la seule intelligence artificielle qu’ils utilisent est d’espionner les vrais spécialistes de la sécurité informatique via le Cloud.

VirusTotal est concient du problème et fait de son mieux pour le résoudre. Le 4 mai, de nouvelles politiques quant à l’utilisation de son système ont été publiées. Leurs points principaux : tous les utilisateurs de l’API privée doivent « intégrer leur outil de détection à l’interface publique de VT« , et « les nouveaux outils d’analyse qui rejoignent la communauté devront fournir un certificat et/ou des critiques indépendantes provenant de tests de sécurité, en accord avec les bonnes pratiques recommandées par l’AMTSO (Anti-Malware Testing Standards Organization)« . Les experts pensent que (n’oubliez pas de lire les commentaires) ces règles devraient régler la situation de VirusTotal et éloigner les parasites.

Il s’agit de la bonne réaction, et il était plus que temps. Mais je ne pense pas que VirusTotal devrait s’arrêter là. C’est le bon moment pour VirusTotal de réaliser des réformes similaires. Pourquoi ? Parce que les parasites ont plus d’un tour dans leur sac et disposent de tecniques leur permettant de contourner les nouvelles règles et ils continueront de s’approprier le savoir-faire de VirusTotal.

Voici, de mon humble point de vue, les premières choses qu’ils devraient faire :

  • La version publique de l’outil doit être améliorée afin de rendre les requètes automatiques ayant recours à des techniques assurant leur anonymat aussi difficile que possible ;
  • Les participants eux-mêmes doivent décider qui peut accèder aux résultats de leurs scanners.

Nous ne sommes pas les seuls à être mécontants de l’exploitation de VirusTotal et je suis certain que les éventuelles modifications supplémentaires apportées au service seront applaudies par de nombreux collègues – en particulier par ceux qui apportent une réelle contribution à la communauté VirusTotal. Personne ne veut que des parasites récoltent les fruits de son travail et tout le monde est prêt à partager son savoir-faire avec des collègues respectables ou bien avec les CERT, les autorités et autres organisations de lutte contre la criminalité. En bref, toute organisation qui coopère au lieu de copier. L’adoption de la détection tue l’industrie de la sécurité informatique et contribue indirectement à la cybercriminalité.

PS : VirusTotal est le service d’analyse multiple le plus célèbre et le plus avancé mais il ne s’agit pas du seul disponible. On trouve également Jotti, VirSCAN, Metadefender et bien d’autres services qui ont eux aussi des failles. Chacun d’entre eux aurait besoin de faire le ménage afin de stopper toute utilisation abusive. Et oui, j’espère que VirusTotal sera l’exemple qu’ils suivront tous.

@e_kaspersky dénonce les parasites qui utilisent #VirusTotal de manière abusive en copiant la détection d’autres éditeursTweet
LIRE LES COMMENTAIRES 0
Laisser un commentaire