Jouer à cache-cache avec des malwares sans fichiers

Le code malveillant s’infiltre partout…

C’est un peu comme un gaz, qui remplit toujours l’espace dans lequel il se trouve : il passera toujours par les  » trous  » (vulnérabilités) d’un système informatique. Notre travail (enfin, l’une de nos tâches) consiste donc à trouver ces trous et à les boucher. Notre objectif est de faire cela de manière proactive ; c’est-à-dire, avant que le malware ne les retrouve. Et s’il en détecte, nous sommes là, prêts à le repousser.

En fait, c’est la protection proactive et la capacité à prévoir les actions des attaquants et à créer une barrière à l’avance qui distinguent une cybersécurité de haute technologie vraiment excellente du simple marketing.

Aujourd’hui, je voudrais vous parler d’une autre façon dont notre action proactive protège contre un autre type de malware, particulièrement rusé. Oui, je veux vous parler de ce qu’on appelle le code malveillant sans fichier (et donc sans  » corps « ) : une dangereuse race de malwares fantômes qui ont appris à utiliser les inconvénients architecturaux de Windows pour infecter les ordinateurs. Et aussi de notre technologie brevetée qui lutte contre cette cyber-maladie bien particulière. Et je le ferai comme vous l’aimez : des choses complexes expliquées simplement, de manière légère et captivante comme dans un cyber-thriller avec des éléments de suspense ;).

Tout d’abord, que veut dire sans fichier ?

Eh bien, le code sans fichier, une fois introduit dans un système informatique, ne crée pas de copies de lui-même sous forme de fichiers sur le disque, évitant ainsi la détection par les méthodes traditionnelles, par exemple avec un moniteur antivirus.

Alors, comment un tel  » malware fantôme  » existe-t-il à l’intérieur d’un système ? Eh bien, il réside dans la mémoire de processus fiable ! Eh oui ! Beurk !

Dans Windows (et pas seulement dans Windows, en fait), il y a toujours eu la possibilité d’exécuter du code dynamique, notamment utilisé pour la Compilation juste à temps. Cela consiste en la transformation d’un code de programme en code machine non pas immédiatement, mais au fur et à mesure des besoins. Cette approche améliore la vitesse d’exécution de certaines applications. Et pour prendre en charge cette fonctionnalité, Windows permet aux applications de placer du code dans la mémoire de processus (ou même dans une autre mémoire de processus fiable) et de l’exécuter.

Ce n’est pas vraiment une bonne idée du point de vue de la sécurité, mais bon… C’est comme ça que des millions d’applications écrites dans Java, .NET, PHP, Python et autres langages et pour d’autres plateformes fonctionnent depuis des décennies.

Comme on pouvait s’y attendre, les criminels du web ont profité de la possibilité d’utiliser du code dynamique, en inventant diverses méthodes pour en abuser. Et l’une des méthodes les plus pratiques et donc les plus répandues qu’ils utilisent est ce qu’on appelle l’injection de PE par réflexion. La quoi ? Laissez-moi expliquer (c’est plutôt intéressant, restez avec moi !)

Lancer une demande en cliquant sur son icône est assez simple et direct, non ? En fait, cela semble simple, mais sous le capot, il y a toutes sortes de choses qui se passent : un chargeur système est appelé, qui prend le fichier respectif sur le disque, le charge dans la mémoire et l’exécute. Et ce processus standard est contrôlé par des moniteurs antivirus, qui vérifient la sécurité de l’application à la volée.

Lorsqu’il y a une  » réflexion « , cependant, le code est chargé en contournant le chargeur du système (et donc en contournant également le moniteur antivirus). Le code est placé directement dans la mémoire d’un processus fiable, créant ainsi une  » réflexion  » du module exécutable original. Cette réflexion peut être exécutée comme un véritable module chargé par une méthode standard, mais elle n’est pas enregistrée dans la liste des modules et, comme mentionné ci-dessus, elle n’a pas de fichier sur le disque.
 
De plus, contrairement aux autres techniques d’injection de code (par exemple, via le shellcode), l’injection par réflexion permet de créer du code fonctionnellement avancé dans des langages de programmation de haut niveau et des cadres de développement standard, sans aucune limitation ou presque. Le résultat : (i) pas de fichiers, (ii) une dissimulation derrière un processus fiable, (iii) l’invisibilité face aux technologies de protection traditionnelles, et (iv) le champ libre pour faire des ravages.

Alors, bien entendu les injections par réflexion ont eu un succès fou auprès des développeurs de code malveillant : Ils sont d’abord apparus dans des packs d’exploitation. Ensuite, des cyber-espions ont fait leur apparition (par exemple, Lazarus etTurla), puis des cybercriminels avancés (comme c’est une façon utile et légitime d’exécuter un code complexe !), puis de petits cybercriminels.

Maintenant, du côté des antivirus, trouver une telle infection sans fichier, c’est comme chercher une aiguille dans une cyber-botte de foin. Pas étonnant que la plupart des marques de cybersécurité ne s’en sortent pas trop bien. Certaines touchent à peine à ce type de problèmes.

En lire plus :Jouer à cache-cache avec des malwares sans fichiers

Les années du cyberpassé – partie 7 : 1997 fondation de Kaspersky Lab (mon Lab !)

Me voilà de retour avec plus de cyber-nostalgie K… Cet article porte sur une année très spéciale pour l’entreprise : celle de sa création ! Comme vous pouvez le voir sur le certificat d’immatriculation de notre entreprise, elle a été fondée le 26 juin 1997 :

Et c’est pour ça que nous faisons notre super-méga-fête d’anniversaire annuelle tous les mois de juin juillet (ne me demandez pas pourquoi, et puis, qu’est-ce que ça va changer, un mois de plus ou un mois de moins ?) Cette année est la seule où nous n’avons rien fait. C’est bien dommage. Mais nous n’avons pas le choix.

En lire plus :Les années du cyberpassé – partie 7 : 1997 fondation de Kaspersky Lab (mon Lab !)

Kaspersky Exploring Russia : tourisme ÷ confinement × accélérateur = la combinaison gagnante !

À la mi-printemps de cette année, au cœur de la période « personne ne sort », il était évident que le tableau était des plus sombres pour le monde entier et que les choses n’allaient pas changer de sitôt. Les entreprises seraient durement touchées, c’est le moins que l’on puisse dire, et le tourisme serait dévasté puisque plus d’une entreprise ne survivrait pas à cette crise. À K, nous avons fait ce que nous faisons souvent toujours, à savoir faire travailler nos méninges, et nous avons décidé… d’aider le secteur le plus affecté.

J’ai annoncé début mai que les inscriptions à l’accélérateur de tourisme « Kaspersky Exploring Russia » étaient ouvertes. Je n’avais pas imaginé que nous recevrions plus de 500 candidatures provenant de 47 pays (près d’un quart de tous les pays du monde) et des cinq continents (en avant l’Antarctique !). En les analysant, je me suis rendu compte du potentiel qu’abrite le tourisme : tellement d’idées, de start-ups incroyables et de projets en cours. Il n’y avait aucune restriction géographique : les participants pouvaient s’inscrire depuis n’importe où (c’est ce qu’ils ont fait), et ils devaient décrire leurs idées pour exploiter le potentiel touristique de la Russie ou pour les mettre en place en Russie. Nous avons étudié toutes les candidatures et avons retenu les 10 meilleures idées. Ces 10 projets ont intégré notre programme d’accélération.

Les 10 participants ont assisté à des cours et des conférences en ligne pendant deux semaines. Chaque équipe avait toute une série de rendez-vous spécialement pensés avec son tuteur. Certains experts du tourisme ont partagé leurs expériences et leur savoir-faire avec les participants pour les aider à avoir une entreprise prospère. Parmi les tuteurs, on trouvait notamment Vikas Bhola, directeur régional de Booking.com, Gemma Rubio, fondatrice de Define the Fine, Vadim Mamontov, directeur général de Russia Discovery et bien d’autres experts. Les participants ont également profité de ces deux semaines pour peaufiner leurs présentations, qu’ils ont remises au jury dont je faisais partie.

Les finalistes ont présenté leur projet la semaine dernière et ont répondu à nos questions lors de la journée finale de démonstration de l’accélérateur. Nous avons choisi trois vainqueurs qui ont reçu les prix offerts par nos partenaires. Laissez-moi vous parler un peu de chacun d’eux…

Le premier prix a été attribué à 360 Stories. Il s’agit d’une application mobile de réalité augmentée avec un vrai guide. Ils disent que leur mission est de « moderniser les visites guidées traditionnelles en proposant des visites interactives et en temps réel réalisées par de vrais guides ». Avec 360 Stories les visiteurs peuvent désormais flâner dans leurs villes préférées et visiter les sites touristiques en s’inscrivant à une visite personnalisée avec un guide local et en temps réel.

D’ailleurs, 360 Stories a bien failli perdre puisque le responsable ne s’est pas réveillé et ne s’est pas présenté ! Il devait intervenir à 5 h 30 heure locale (New York). À cause de ce créneau horaire très matinal, M. 360 Stories n’a pas entendu son réveil. Il s’est finalement réveillé et a appelé les organisateurs pour leur demander pourquoi il avait 20 appels en absence. Ils allaient tous lui dire qu’il allait gagner mais lui ont finalement demandé où il était passé !

En lire plus :Kaspersky Exploring Russia : tourisme ÷ confinement × accélérateur = la combinaison gagnante !

Cyber-histoires du côté obscur : vulnérabilités inattendues, piratage à la demande et système d’exploitation de SpaceX

Passer le premier mois de l’été en quarantaine : fait. Il semblerait que le monde s’ouvre progressivement mais nous préférons ne pas prendre de risques à K et nous avons décidé de continuer à télétravailler. Cela ne signifie pas pour autant que nous avons perdu en efficacité : nous travaillons toujours aussi bien, d’autant que les cybercriminels n’ont pas été mis au chômage technique. La situation générale des menaces n’a toutefois pas connu de changement majeur ces derniers temps. Comme d’habitude, les pirates informatiques ont tout de même mis au point des cyber-méthodes plutôt étonnantes. Voici certaines de celles que nous avons vues ce dernier mois.

Vulnérabilité zero-day dans le système d’exploitation ‘super-sécurisé’ Tails de Linux

Il ne fait aucun doute que Facebook sait comment dépenser son argent. Il s’avère que l’entreprise a investi un important montant à six chiffres dans la création d’un exploit zero-day pour s’en prendre à une vulnérabilité du système d’exploitation Tails (= Linux, spécialement conçu pour profiter d’une meilleure vie privée) dans le cadre d’une affaire du FBI. Cette action a permis la détention d’un pédophile. Ils savaient depuis un certain temps que cet individu paranoïaque et dérangé utilisait ce système d’exploitation particulièrement sécurisé. Facebook a d’abord utilisé sa capacité à cartographier les comptes pour connecter tous ceux que le criminel avait utilisés. Il a malgré tout été impossible d’obtenir une adresse valide à partir de cette cyber-victoire. Ils ont apparemment demandé le développement d’un exploit pour une application de lecteur vidéo. Ce choix était judicieux puisque le prédateur sexuel demandait à ses victimes de lui envoyer des vidéos et qu’il les regardait sûrement sur son ordinateur.

Il semblerait que la vulnérabilité exploitée n’a pas été signalée aux développeurs de Tails qui ont ensuite répondu qu’elle avait déjà été corrigée. Les employés de l’entreprise ne disent rien à ce sujet mais il est évident que la  » commande d’une vulnérabilité  » n’est pas la meilleure publicité. On espère néanmoins que cet exploit était unique, réservé à ce criminel particulièrement mauvais, et que cela ne va pas se répéter pour un quelconque utilisateur.

Ce qu’il faut en retenir : peu importe à quel point le projet basé sur Linux ce dit super-méga sécurisé, rien ne garantit qu’il n’y ait pas de vulnérabilité. Pour pouvoir revendiquer une telle capacité, la totalité des procédures de travail de base et l’architecture du système d’exploitation doit être restructurée. Hm, oui, en réalité, c’est l’occasion parfaite pour dire bonjour à ça 😊.

En lire plus :Cyber-histoires du côté obscur : vulnérabilités inattendues, piratage à la demande et système d’exploitation de SpaceX

Les années du cyber-passé – partie 6 : les médias et moi

La semaine dernière, je me suis rendu compte que nous avions déjà passé un trimestre entier en confinement-isolation-quarantaine. Trois mois à la maison, avec seulement quelques courts voyages à nos installations désertes et à la datcha chaque week-end avec le reste de la famille qui est tout autant isolé. Comme pour tout le monde, une vie quotidienne des plus extraordinaires. Pour moi, pas d’avion, pas d’aéroport, pas d’hôtel, pas de réunion et pas de discours. En résumé, très peu de déplacements.

Pourtant, tout est relatif. En trois mois, nous avons tous parcouru plus de 230 millions de kilomètres (un quart de l’orbite de la Terre autour du soleil) et tout cela sans prendre en compte le fait que le système solaire se déplace lui-même à une vitesse folle. Les réunions professionnelles sont la seule chose qui n’a pas vraiment changé depuis que le confinement a commencé. Elles se font tout simplement en ligne. D’ailleurs, l’entreprise en général fonctionne comme d’habitude, puisque les virus biologiques ne nous affectent pas 😊.

Assez parlé du confinement, vous en avez certainement un peu marre. Par conséquent, je continue à vous raconter d’autres histoires de mon cyber-passé et, cette fois, il s’agit des interviews pour les journaux, les magazines, la radio, la télévision et de bien d’autres interventions en public. Je me suis souvenu de mon activité « médiatique » lorsque je vous ai mentionné ma semaine de l’enfer avec toute une multitude d’entretiens lors du CeBIT d’il y a quelques années, ce qui a fait ressurgir de vieux souvenirs (Les années du cyber-passé, partie 4). Il s’avère que j’ai plein de choses à vous raconter quant aux expériences intéressantes que j’ai vécues lorsque je parle avec les médias, intervient en public, etc. Voilà quelque chose d’amusant et d’inhabituel accompagné de quelques photos (éclaircies et avec un peu de brillant).

Je vais également vous raconter des histoires médiatiques de toutes sortes et de toutes tailles : du discours prononcé dans une salle presque vide à une intervention dans un stade plein ! Des publications dans des médias locaux, inconnus et petits, aux conglomérats de médias mondiaux dont les noms célèbres figurent dans le peloton de tête ! Des conférences professionnelles données dans des universités d’excellence et / ou à une audience spécialement experte en technologie aux interventions informelles au sujet des merveilles de l’arithmétique à bord d’un bateau qui se dirigeait vers… l’Antarctique en passant par le passage de Drake ! Eugène est le nom et le jeu est la variable.

Bon, j’imagine que le plus logique serait de commencer par le début…

En lire plus :Les années du cyber-passé – partie 6 : les médias et moi

Les années du cyber-passé – partie 5 : 1996 (l’année où tout a basculé)

Par le présent acte, je vous raconte d’autres anecdotes qui remontent au jour où nous sommes passés d’une entreprise aux débuts modestes à ce que nous sommes aujourd’hui. Cette série des années du cyber-passé n’est possible que grâce au… confinement ! Sans cela, je n’aurai jamais eu le temps de remonter les méandres de ma cyber-mémoire…

Juste au cas où vous auriez raté les épisodes précédents, les voici :

Partie 1
Partie 2
Partie 3
Partie 4

Parfait. Partie 5 : 1996. Ce fut vraiment une année fatidique et un tournant décisif.

Premièrement, les fondateurs de KAMI, l’entreprise où je travaillais, ont décidé de se séparer. Par conséquent, KAMI a été divisée en plusieurs organisations indépendantes. L’année suivante, en 1997, nous nous sommes aussi séparés.

Deuxièmement, nous avons signé un contrat FEO (fabricant d’équipement d’origine) avec l’entreprise allemande G Data pour leur fournir notre antivirus. Ce contrat avait une durée totale de 12 ans… jusqu’en 2008, lorsque nous sommes devenus les numéros 1 sur le marché allemand. Voilà comment les choses se sont passées. Rien ne pouvait arrêter nos exploits originaux-technologiques ! Qu’allions-nous faire ? Quoi qu’il en soit, G Data nous avait contactés (nous ne pouvions pas chercher activement des partenaires technologiques à cette époque) avec la coopération de Remizov, patron de KAMI, et tout cela avait culminé avec la signature du contrat au CeBIT, comme je l’ai expliqué dans la partie 4. Voilà comment notre activité de licences de technologie a pris son envol.

Après les allemands (en 1995) ce fut le tour des Finlandais avec F-Secure (en 1996), ou Data Fellows à l’époque. Laissez-moi vous expliquer comment notre collaboration a commencé.

En août 1995, le tout premier virus macro est apparu et a infecté des documents Microsoft Word. Il s’avère que la création de virus macro était assez simple, que ce programme malveillant se propageait à une vitesse alarmante et qu’il touchait de nombreux utilisateurs qui ne se doutaient de rien. Ce fait a attiré l’attention d’autres créateurs de virus et les virus macro sont très rapidement devenus le problème le plus épineux pour le secteur des antivirus. Leur détection n’avait rien de facile puisque le format d’un document Word est très complexe (qui l’aurait cru ?). Les entreprises d’antivirus ont, pendant plusieurs mois, agi comme des chamans en utilisant plusieurs méthodes, jusqu’à ce McAfee (l’entreprise) communiqua en 1996 la « bonne » méthode de désassemblage des documents Word. Notre collègue Andrey Krukov (qui a rejoint notre équipe en 1995) s’est rapidement emparé de cette nouvelle et a mis au point une solution technologique plus élégante et plus efficace. J’ai fait passer le mot et les entreprises nous ont rapidement contactés pour nous faire une offre quant à l’achat de notre technologie. Après avoir recueilli diverses offres, nous avons organisé une réunion avec les différentes parties intéressées lors de la prochaine édition de la Virus Bulletin Conference organisée à Brighton, Royaume-Uni, à laquelle Andrey et moi avons participé en automne 1996.

Une fois à Brighton, les choses ne sont pas vraiment passées comme prévu : aucune de ces réunions n’a abouti ! Pourtant…

En lire plus :Les années du cyber-passé – partie 5 : 1996 (l’année où tout a basculé)

Les années du cyber-passé – partie 4 : le CeBIT

Ce fut long mais l’été est enfin là ! Même si je ne suis pas sûr que cela soit aussi agréable que d’habitude puisque nous sommes toujours chez nous et que nous télétravaillons. Il est vrai que certaines mesures ont été assouplies ici et là, un peu partout dans le monde, mais ici, à K, nous ne sommes pas pressés. Je pense qu’il en est de même dans d’autres entreprises informatiques qui vont préférer le télétravail au moins jusqu’en automne, alors que d’autres employés ont déjà dit qu’ils pouvaient travailler de cette façon jusqu’à la fin de l’année. Il est évident que les voyages d’affaires sont encore annulés, tout comme le sont les expositions, les conférences, les Jeux olympiques, le festival de Cannes et toute une série d’événements de grande envergure. Certains pays maintiennent également la fermeture des frontières.

Alors oui, nous sommes encore enfermés, nous ne sortons pas beaucoup et nous perdons un peu la tête comme dans Cabin Fever. C’est du moins le cas pour de nombreuses personnes, sans aucun doute. D’autres profitent de leur temps libre et font plus de sport que jamais ! Ils sont le diable incarné. Je suis entre les deux. Ce jour sans fin m’épuise un peu, parfois, mais je m’occupe. Cela signifie dépoussiérer et ressortir mes vieux documents pour déterrer de vieilles photos et réveiller de très bons souvenirs (et constater la rapidité avec laquelle le monde change)… et rédiger l’article suivant de notre série sur les années du cyber-passé !

Il est vrai que cette série comprend un peu de cyber-nostalgie et de nombreuses expériences personnelles et professionnelles que j’ai vécues au cours de cette cyber-aventure et qui, je l’espère, aideront quelques personnes et seront intéressantes pour d’autres. Je continue donc aujourd’hui avec cette quatrième partie, qui est la suite du récit que j’ai commencé dans la partie 3 au sujet du CeBIT.

CeBIT… nous l’aimons à la fobits ! Tout était si nouveau et différent et immense et…

En lire plus :Les années du cyber-passé – partie 4 : le CeBIT

Quel groupe de pirates informatiques s’en prend au réseau de mon entreprise ? Ne jouez pas aux devinettes, vérifiez !

Il y a environ quatre ans, la cybersécurité devenait un pion de l’échiquier géopolitique. Alors que les politiques de tous les partis et de toutes les nationalités se montraient du doigt et se rejetaient la faute d’opérations hostiles de cyber-espionnage, en parallèle, et apparemment sans aucun signe d’ironie, ils augmentaient la réserve d’armes outils offensifs informatiques de leur pays. Les entreprises indépendantes de cybersécurité, prises entre deux feux à cause de ces manigances géopolitiques, ont toutefois les capacités et le culot courage de révéler toutes ces absurdités très dangereuses.

Pourquoi ? C’est très simple.

Tout d’abord,  » cyber  » a été et est depuis le début un terme cool, romantique, glamour, hollywoodien et lié à la science-fiction. Il est vendeur, même lorsqu’il s’agit de journaux d’abonnements à des journaux en ligne. Il est populaire, même auprès des politiques. C’est aussi une distraction utile, grâce à son côté cool et tendance, lorsqu’il faut détourner l’attention, et c’est souvent le cas.

Ensuite,  » cyber  » est vraiment un terme geek. La plupart des gens ne comprennent pas en quoi il consiste. Par conséquent, les médias, lorsqu’ils doivent couvrir une actualité ayant un lien avec ce sujet, ou lorsqu’ils cherchent à obtenir plus de visites sur leur site, peuvent écrire tout et n’importe quoi, et la plupart des choses qu’ils racontent ne sont pas vraiment exactes (ou sont complètement fausses). Peu de lecteurs s’en rendent compte. Vous avez donc de nombreux articles dans la presse qui disent que le groupe de pirates informatiques de tel ou tel pays est responsable d’une certaine cyberattaque embarrassante, coûteuse, préjudiciable ou encore scandaleuse. Y-a-t-il quelque chose de vrai dans tout cela.

Nous nous en tenons aux attributions techniques. C’est notre devoir et c’est ce que nous faisons en tant qu’entreprise.

En général, il est difficile de discerner le vrai du faux. Cela étant dit, est-il vraiment possible d’attribuer avec précision une cyberattaque à tel gouvernement ou à une organisation en particulier ?

La réponse se divise en deux parties

D’un point de vue technique, les cyberattaques possèdent un ensemble de caractéristiques spécifiques, mais le système d’analyse impartial ne peut que déterminer à quel point une attaque ressemble au travail de tel ou tel groupe de pirates informatiques. En revanche, lorsqu’il s’agit de dire si tel ou tel groupe de pirates informatiques en est à l’origine… comme les renseignements militaires de la sous-unité 233, le groupe pour les projets de recherche avancée de défense ou l’unité opérationnelle des capacités stratégiques conjointes et de la réduction des menaces (toutes ces institutions sont factices, inutiles de faire une recherche sur Google)… cela relève de la politique. Dans ce cas, l’éventualité d’une manipulation des faits s’approche des 100 %. L’attribution peut être technique, établie à partir de preuves et tirée de conclusions exactes, ou bien… relever de la voyance, en lisant les lignes de votre main ou le marc de café. C’est pourquoi nous laissons les médias s’en occuper. Nous restons bien l’écart. En attendant, le pourcentage d’insectes politiques qui se passent de la pommade à base de faits de cybersécurité pure se multiplie lorsque la date de certains événements politiques clés approche. Oh, exactement comme celui prévu dans cinq mois !

Le combat est beaucoup plus facile si nous connaissons l’identité du cybercriminel : la réponse aux incidents peut être déployée sans encombre et avec un risque minimum pour l’entreprise.

Donc oui, nous évitons à tout prix l’attribution politique. Nous nous en tenons à la partie technique. En réalité, c’est notre devoir et c’est ce que nous faisons en tant qu’entreprise. Nous le faisons mieux que n’importe qui, en toute modestie. Nous suivons de près tous les grands groupes de pirates informatiques et leurs opérations (plus de 600 d’entre elles) et ne faisons pas attention à leur éventuelle orientation politique. Un voleur reste un voleur et sa place est en prison. Maintenant, plus de 30 ans après être entré en jeu et avoir collecté en continu de nombreuses données sur les actes numériques répréhensibles, nous sommes enfin prêts à partager tout ce que nous avons obtenu, de façon convenable.

L’autre jour, nous avons lancé un nouveau service exceptionnel pour les experts en cybersécurité. Il s’agit de Kaspersky Threat Attribution Engine (KTAE). Ce produit analyse les fichiers suspects et détermine quel groupe de pirates informatiques pourrait être à l’origine de la cyberattaque. Le combat est beaucoup plus facile si nous connaissons l’identité du cybercriminel puisque cela nous permet de prendre des décisions de contre-mesures informées, d’élaborer un plan d’action, d’établir les priorités et, de façon générale, de déployer une réponse aux incidents sans encombre et avec un risque minimum pour l’entreprise.

Comment est-ce possible ?

En lire plus :Quel groupe de pirates informatiques s’en prend au réseau de mon entreprise ? Ne jouez pas aux devinettes, vérifiez !

Cyber-histoires en temps de confinement : 92 mars 2020

Cela fait maintenant près de trois mois que la plupart des pays, et leurs habitants, sont en confinement ! Vous avez certainement entendu parler d’un film en particulier pendant ce laps de temps, j’en suis certain, voire de plusieurs. Il y a pourtant une nouvelle approche : le film Un jour sans fin n’est plus aussi amusant ! Ensuite, quelle que soit la météo, cela ne nous convient pas. Un temps couvert, humide et venté : c’est déprimant pour tout le monde (en plus du confinement). Le soleil brille, il fait chaud et on se croirait en été : c’est déprimant pour tout le monde puisque personne ne peut sortir pour en profiter !

Pourtant, j’imagine qu’il est quelque peu réconfortant de se dire que nous sommes presque tous dans la même situation et ne pouvons pas quitter notre domicile. Peut-être. Cela ne s’applique qu’à nous, les personnes normales / bien intentionnées. Qu’en est-il des méchants ? Comment ont-ils  » surmonté  » cet emprisonnement à domicile ? La semaine dernière, j’ai partagé quelques statistiques et tendances à ce sujet. Aujourd’hui je souhaite poursuivre cette étude et faire une mise à jour… Eh oui, malheureusement les cyber-méchants agissent vite. // Soit dit en passant, si vous souhaitez en savoir plus sur les cyber-histoires du côté obscur, alias cyber-actualité, suivez l’étiquette de ces articles.

Tout d’abord, voici quelques statistiques supplémentaires – mises à jour. De plus, elles sont plutôt rassurantes…

En mars, mais surtout en avril, l’activité générale des cybercriminels a fortement augmenté. Pourtant, nous avons constaté une forte baisse en mai et sommes revenus aux résultats que nous avions avant le coronavirus (janvier-février) :

En lire plus :Cyber-histoires en temps de confinement : 92 mars 2020

Les années du cyber-passé – partie 3 : 1992-199x

Juste au cas où vous auriez raté mes deux premiers récits, voici le troisième épisode de mes chroniques du cyber-passé. Depuis que le confinement a commencé, tout comme la plupart d’entre vous, j’ai plus de temps pour me remémorer tranquillement tout mon parcours en cyberséKurité. En temps normal je serai très certainement dans un avion pour me rendre ici et là, un peu partout, que ce soit pour le travail ou pour faire du tourisme, ce qui me prend généralement tout mon temps. Puisque rien de cela n’est possible pour le moment (du moins en personne, dans la vie réelle), j’utilise une partie de ce temps libre pour m’installer devant mon ordinateur et laisser libre cours à cette nostalgie personnelle / de Kaspersky Lab / de cyber-histoire : cet article va du début au milieu des années 90.

Une faute de frappe devient notre marque

Au tout début, nous nommions tous nos antivirus suivant le modèle « -*.EXE ». Cela donne, par exemple, « -V.EXE » (scanner antivirus), « -D.EXE » (contrôle interne) ou « -U.EXE » (utilités). Le préfixe « – » était utilisé pour nous assurer que nos logiciels seraient en tête de liste des programmes dans un gestionnaire de fichiers (la geekitude technologique rencontre l’intelligence des relations publiques dès le départ ?).

Un peu plus tard, lorsque nous avons lancé notre premier produit complet, nous l’avons appelé « Antiviral Toolkit Pro ». Logiquement son abréviation aurait dû être « ATP » mais ce ne fût pas le cas…

Fin 1993, ou début 1994, Vesselin Bontchev, qui se souvenait de moi comme nous nous étions déjà rencontrés dans le passé (cf Les années du cyber-passé – partie 1), m’a demandé une copie de notre produit pour le tester au Virus Test Center (centre de test pour virus) de l’université d’Hambourg où il travaillait à l’époque. J’ai bien évidemment accepté et, alors que je compressais les fichiers pour créer une archive ZIP, j’ai accidentellement nommé l’archive AVP.ZIP (au lieu de ATP.ZIP). Je l’ai envoyé à Vesselin sans me rendre compte de mon erreur. Quelque temps plus tard, Vesselin m’a demandé s’il pouvait télécharger l’archive sur un serveur FTP (pour qu’elle soit rendue publique). J’ai à nouveau accepté. Une ou deux semaines plus tard il m’a dit : « Ton AVP connaît de plus en plus de succès sur le serveur FTP ! »

« Quel AVP ? » demandai-je.

« Qu’est-ce que tu veux dire lorsque tu me demandes « Quel AVP » ? Celui que tu m’as envoyé dans l’archive, bien sûr ! »

« QUOI ?! Renomme-le sans attendre, c’est une erreur ! »

« Trop tard. Il est déjà en ligne et connu sous le nom de AVP ! »

Voilà : nous devions continuer avec AVP ! Par chance, nous avons (plus ou moins) réussi à tirer notre épingle du jeu : Anti-Viral toolkit Pro. Comme je l’ai dit… plus ou moins 😊 Autant faire les choses jusqu’au bout : nous avons modifié tous les noms de nos utilités et remplacé le préfixe « – » par « AVP ». Nous l’utilisons encore aujourd’hui dans le nom de certains de nos modules.

Premiers voyages d’affaires – direction l’Allemagne pour le CeBIT

En 1992, Alexey Remizov (mon patron à KAMI et la première entreprise où j’ai travaillé) m’a aidé à obtenir mon premier passeport pour voyager à l’étranger, et m’a emmené avec lui au salon CeBIT qui se tenait à Hanovre, en Allemagne. Nous y avions un stand modeste que nous partagions avec d’autres entreprises russes. Notre table était à moitié recouverte de technologies transputer de KAMI, alors que l’autre moitié était consacrée à… nos offres antivirus. En récompense, nous avons obtenu quelques nouveaux clients mais rien de bien exceptionnel. Quoi qu’il en soit, ce voyage fût très utile…

À cette époque, nous voyons le CeBIT comme quelque chose de grandiose. C’était si immense ! Peu de temps s’était écoulé depuis la réunification de l’Allemagne et, pour nous, c’était encore un peu l’Allemagne de l’Ouest ; le capitalisme-ordinateur vous rend fou ! En effet, un véritable choc culturel (suivi d’un second choc culturel lorsque nous sommes revenus à Moscou. J’y reviendrai plus tard).

Étant donné l’immensité du CeBIT, notre petit stand partagé n’a pas vraiment attiré l’attention. Pourtant, vous savez ce que l’on dit : « ça ouvre des portes », « les premiers pas sont les plus difficiles », etc. C’est pourquoi nous sommes retournés au CeBIT quatre ans plus tard, mais cette fois pour commencer à construire notre réseau de partenaires européens (puis internationaux). Je pourrai vous en parler un autre jour dans un autre article. Je pense que ce pourrait être intéressant, surtout pour ceux qui se lancent dans le monde des affaires.

En attendant, même à cette époque, j’avais compris que notre projet avait sérieusement besoin d’un quelconque soutien marketing / de relations publiques. Puisque nous n’avions que trois francs six sous et que les journalistes n’avaient jamais entendu parler de nous, il était assez difficile d’obtenir quoi que ce soit. Pourtant, la conséquence directe de notre premier voyage au CeBIT a été la publication en mai 1992 d’un article sur nous, que nous avons rédigé, dans le magazine technologique russe ComputerPress. Des relations publiques du pays !

Fee-fi-fo-fum, je sens l’odeur de l’argent des Anglais !

Mon second voyage d’affaires a eu lieu en juin-juillet de la même année : direction le Royaume-Uni. Grâce à ce voyage, nous avons obtenu un autre article, cette fois dans le Virus Bulletin, intitulé The Russians Are Coming (Les russes arrivent). Il s’agissait de notre première publication à l’étranger. À propos, l’article parle de « 18 programmeurs ». KAMI comptait peut-être 18 employés au total, mais nous n’étions que tous les trois à travailler dans notre département antivirus.

Londres, juin 1992

En lire plus :Les années du cyber-passé – partie 3 : 1992-199x