Archives mensuelles : juin 2020

Quel groupe de pirates informatiques s’en prend au réseau de mon entreprise ? Ne jouez pas aux devinettes, vérifiez !

Il y a environ quatre ans, la cybersécurité devenait un pion de l’échiquier géopolitique. Alors que les politiques de tous les partis et de toutes les nationalités se montraient du doigt et se rejetaient la faute d’opérations hostiles de cyber-espionnage, en parallèle, et apparemment sans aucun signe d’ironie, ils augmentaient la réserve d’armes outils offensifs informatiques de leur pays. Les entreprises indépendantes de cybersécurité, prises entre deux feux à cause de ces manigances géopolitiques, ont toutefois les capacités et le culot courage de révéler toutes ces absurdités très dangereuses.

Pourquoi ? C’est très simple.

Tout d’abord,  » cyber  » a été et est depuis le début un terme cool, romantique, glamour, hollywoodien et lié à la science-fiction. Il est vendeur, même lorsqu’il s’agit de journaux d’abonnements à des journaux en ligne. Il est populaire, même auprès des politiques. C’est aussi une distraction utile, grâce à son côté cool et tendance, lorsqu’il faut détourner l’attention, et c’est souvent le cas.

Ensuite,  » cyber  » est vraiment un terme geek. La plupart des gens ne comprennent pas en quoi il consiste. Par conséquent, les médias, lorsqu’ils doivent couvrir une actualité ayant un lien avec ce sujet, ou lorsqu’ils cherchent à obtenir plus de visites sur leur site, peuvent écrire tout et n’importe quoi, et la plupart des choses qu’ils racontent ne sont pas vraiment exactes (ou sont complètement fausses). Peu de lecteurs s’en rendent compte. Vous avez donc de nombreux articles dans la presse qui disent que le groupe de pirates informatiques de tel ou tel pays est responsable d’une certaine cyberattaque embarrassante, coûteuse, préjudiciable ou encore scandaleuse. Y-a-t-il quelque chose de vrai dans tout cela.

Nous nous en tenons aux attributions techniques. C’est notre devoir et c’est ce que nous faisons en tant qu’entreprise.

En général, il est difficile de discerner le vrai du faux. Cela étant dit, est-il vraiment possible d’attribuer avec précision une cyberattaque à tel gouvernement ou à une organisation en particulier ?

La réponse se divise en deux parties

D’un point de vue technique, les cyberattaques possèdent un ensemble de caractéristiques spécifiques, mais le système d’analyse impartial ne peut que déterminer à quel point une attaque ressemble au travail de tel ou tel groupe de pirates informatiques. En revanche, lorsqu’il s’agit de dire si tel ou tel groupe de pirates informatiques en est à l’origine… comme les renseignements militaires de la sous-unité 233, le groupe pour les projets de recherche avancée de défense ou l’unité opérationnelle des capacités stratégiques conjointes et de la réduction des menaces (toutes ces institutions sont factices, inutiles de faire une recherche sur Google)… cela relève de la politique. Dans ce cas, l’éventualité d’une manipulation des faits s’approche des 100 %. L’attribution peut être technique, établie à partir de preuves et tirée de conclusions exactes, ou bien… relever de la voyance, en lisant les lignes de votre main ou le marc de café. C’est pourquoi nous laissons les médias s’en occuper. Nous restons bien l’écart. En attendant, le pourcentage d’insectes politiques qui se passent de la pommade à base de faits de cybersécurité pure se multiplie lorsque la date de certains événements politiques clés approche. Oh, exactement comme celui prévu dans cinq mois !

Le combat est beaucoup plus facile si nous connaissons l’identité du cybercriminel : la réponse aux incidents peut être déployée sans encombre et avec un risque minimum pour l’entreprise.

Donc oui, nous évitons à tout prix l’attribution politique. Nous nous en tenons à la partie technique. En réalité, c’est notre devoir et c’est ce que nous faisons en tant qu’entreprise. Nous le faisons mieux que n’importe qui, en toute modestie. Nous suivons de près tous les grands groupes de pirates informatiques et leurs opérations (plus de 600 d’entre elles) et ne faisons pas attention à leur éventuelle orientation politique. Un voleur reste un voleur et sa place est en prison. Maintenant, plus de 30 ans après être entré en jeu et avoir collecté en continu de nombreuses données sur les actes numériques répréhensibles, nous sommes enfin prêts à partager tout ce que nous avons obtenu, de façon convenable.

L’autre jour, nous avons lancé un nouveau service exceptionnel pour les experts en cybersécurité. Il s’agit de Kaspersky Threat Attribution Engine (KTAE). Ce produit analyse les fichiers suspects et détermine quel groupe de pirates informatiques pourrait être à l’origine de la cyberattaque. Le combat est beaucoup plus facile si nous connaissons l’identité du cybercriminel puisque cela nous permet de prendre des décisions de contre-mesures informées, d’élaborer un plan d’action, d’établir les priorités et, de façon générale, de déployer une réponse aux incidents sans encombre et avec un risque minimum pour l’entreprise.

Comment est-ce possible ?

En lire plus :Quel groupe de pirates informatiques s’en prend au réseau de mon entreprise ? Ne jouez pas aux devinettes, vérifiez !

Cyber-histoires en temps de confinement : 92 mars 2020

Cela fait maintenant près de trois mois que la plupart des pays, et leurs habitants, sont en confinement ! Vous avez certainement entendu parler d’un film en particulier pendant ce laps de temps, j’en suis certain, voire de plusieurs. Il y a pourtant une nouvelle approche : le film Un jour sans fin n’est plus aussi amusant ! Ensuite, quelle que soit la météo, cela ne nous convient pas. Un temps couvert, humide et venté : c’est déprimant pour tout le monde (en plus du confinement). Le soleil brille, il fait chaud et on se croirait en été : c’est déprimant pour tout le monde puisque personne ne peut sortir pour en profiter !

Pourtant, j’imagine qu’il est quelque peu réconfortant de se dire que nous sommes presque tous dans la même situation et ne pouvons pas quitter notre domicile. Peut-être. Cela ne s’applique qu’à nous, les personnes normales / bien intentionnées. Qu’en est-il des méchants ? Comment ont-ils  » surmonté  » cet emprisonnement à domicile ? La semaine dernière, j’ai partagé quelques statistiques et tendances à ce sujet. Aujourd’hui je souhaite poursuivre cette étude et faire une mise à jour… Eh oui, malheureusement les cyber-méchants agissent vite. // Soit dit en passant, si vous souhaitez en savoir plus sur les cyber-histoires du côté obscur, alias cyber-actualité, suivez l’étiquette de ces articles.

Tout d’abord, voici quelques statistiques supplémentaires – mises à jour. De plus, elles sont plutôt rassurantes…

En mars, mais surtout en avril, l’activité générale des cybercriminels a fortement augmenté. Pourtant, nous avons constaté une forte baisse en mai et sommes revenus aux résultats que nous avions avant le coronavirus (janvier-février) :

En lire plus :Cyber-histoires en temps de confinement : 92 mars 2020

Flickr photostream

Instagram

Les années du cyber-passé – partie 3 : 1992-199x

Juste au cas où vous auriez raté mes deux premiers récits, voici le troisième épisode de mes chroniques du cyber-passé. Depuis que le confinement a commencé, tout comme la plupart d’entre vous, j’ai plus de temps pour me remémorer tranquillement tout mon parcours en cyberséKurité. En temps normal je serai très certainement dans un avion pour me rendre ici et là, un peu partout, que ce soit pour le travail ou pour faire du tourisme, ce qui me prend généralement tout mon temps. Puisque rien de cela n’est possible pour le moment (du moins en personne, dans la vie réelle), j’utilise une partie de ce temps libre pour m’installer devant mon ordinateur et laisser libre cours à cette nostalgie personnelle / de Kaspersky Lab / de cyber-histoire : cet article va du début au milieu des années 90.

Une faute de frappe devient notre marque

Au tout début, nous nommions tous nos antivirus suivant le modèle « -*.EXE ». Cela donne, par exemple, « -V.EXE » (scanner antivirus), « -D.EXE » (contrôle interne) ou « -U.EXE » (utilités). Le préfixe « – » était utilisé pour nous assurer que nos logiciels seraient en tête de liste des programmes dans un gestionnaire de fichiers (la geekitude technologique rencontre l’intelligence des relations publiques dès le départ ?).

Un peu plus tard, lorsque nous avons lancé notre premier produit complet, nous l’avons appelé « Antiviral Toolkit Pro ». Logiquement son abréviation aurait dû être « ATP » mais ce ne fût pas le cas…

Fin 1993, ou début 1994, Vesselin Bontchev, qui se souvenait de moi comme nous nous étions déjà rencontrés dans le passé (cf Les années du cyber-passé – partie 1), m’a demandé une copie de notre produit pour le tester au Virus Test Center (centre de test pour virus) de l’université d’Hambourg où il travaillait à l’époque. J’ai bien évidemment accepté et, alors que je compressais les fichiers pour créer une archive ZIP, j’ai accidentellement nommé l’archive AVP.ZIP (au lieu de ATP.ZIP). Je l’ai envoyé à Vesselin sans me rendre compte de mon erreur. Quelque temps plus tard, Vesselin m’a demandé s’il pouvait télécharger l’archive sur un serveur FTP (pour qu’elle soit rendue publique). J’ai à nouveau accepté. Une ou deux semaines plus tard il m’a dit : « Ton AVP connaît de plus en plus de succès sur le serveur FTP ! »

« Quel AVP ? » demandai-je.

« Qu’est-ce que tu veux dire lorsque tu me demandes « Quel AVP » ? Celui que tu m’as envoyé dans l’archive, bien sûr ! »

« QUOI ?! Renomme-le sans attendre, c’est une erreur ! »

« Trop tard. Il est déjà en ligne et connu sous le nom de AVP ! »

Voilà : nous devions continuer avec AVP ! Par chance, nous avons (plus ou moins) réussi à tirer notre épingle du jeu : Anti-Viral toolkit Pro. Comme je l’ai dit… plus ou moins 😊 Autant faire les choses jusqu’au bout : nous avons modifié tous les noms de nos utilités et remplacé le préfixe « – » par « AVP ». Nous l’utilisons encore aujourd’hui dans le nom de certains de nos modules.

Premiers voyages d’affaires – direction l’Allemagne pour le CeBIT

En 1992, Alexey Remizov (mon patron à KAMI et la première entreprise où j’ai travaillé) m’a aidé à obtenir mon premier passeport pour voyager à l’étranger, et m’a emmené avec lui au salon CeBIT qui se tenait à Hanovre, en Allemagne. Nous y avions un stand modeste que nous partagions avec d’autres entreprises russes. Notre table était à moitié recouverte de technologies transputer de KAMI, alors que l’autre moitié était consacrée à… nos offres antivirus. En récompense, nous avons obtenu quelques nouveaux clients mais rien de bien exceptionnel. Quoi qu’il en soit, ce voyage fût très utile…

À cette époque, nous voyons le CeBIT comme quelque chose de grandiose. C’était si immense ! Peu de temps s’était écoulé depuis la réunification de l’Allemagne et, pour nous, c’était encore un peu l’Allemagne de l’Ouest ; le capitalisme-ordinateur vous rend fou ! En effet, un véritable choc culturel (suivi d’un second choc culturel lorsque nous sommes revenus à Moscou. J’y reviendrai plus tard).

Étant donné l’immensité du CeBIT, notre petit stand partagé n’a pas vraiment attiré l’attention. Pourtant, vous savez ce que l’on dit : « ça ouvre des portes », « les premiers pas sont les plus difficiles », etc. C’est pourquoi nous sommes retournés au CeBIT quatre ans plus tard, mais cette fois pour commencer à construire notre réseau de partenaires européens (puis internationaux). Je pourrai vous en parler un autre jour dans un autre article. Je pense que ce pourrait être intéressant, surtout pour ceux qui se lancent dans le monde des affaires.

En attendant, même à cette époque, j’avais compris que notre projet avait sérieusement besoin d’un quelconque soutien marketing / de relations publiques. Puisque nous n’avions que trois francs six sous et que les journalistes n’avaient jamais entendu parler de nous, il était assez difficile d’obtenir quoi que ce soit. Pourtant, la conséquence directe de notre premier voyage au CeBIT a été la publication en mai 1992 d’un article sur nous, que nous avons rédigé, dans le magazine technologique russe ComputerPress. Des relations publiques du pays !

Fee-fi-fo-fum, je sens l’odeur de l’argent des Anglais !

Mon second voyage d’affaires a eu lieu en juin-juillet de la même année : direction le Royaume-Uni. Grâce à ce voyage, nous avons obtenu un autre article, cette fois dans le Virus Bulletin, intitulé The Russians Are Coming (Les russes arrivent). Il s’agissait de notre première publication à l’étranger. À propos, l’article parle de « 18 programmeurs ». KAMI comptait peut-être 18 employés au total, mais nous n’étions que tous les trois à travailler dans notre département antivirus.

Londres, juin 1992

En lire plus :Les années du cyber-passé – partie 3 : 1992-199x