Un Kart de siècle ? Où le temps est-il passé ?!…

Salut à tous !

Il y a 25 ans et neuf jours, le 26 juin 1997, l’entreprise qui porte le même nom que moi a été inscrite aux registres. Il s’agissait de  » débuts modestes « , littéralement : une douzaine de personnes avec un taux de rotation nul – mais avec une expertise technique particulière, et des projets tout aussi particuliers et très ambitieux. Voilà à quoi nous ressemblions :

Avance-rapide jusqu’en 1999, et nous étions déjà 40 ->

C’est comme cela que tout a commencé. // D’ailleurs, vous pouvez trouver plus de détails sur notre histoire ici.

En lire plus :Un Kart de siècle ? Où le temps est-il passé ?!…

Cybersoft IP vs K : encore une victoire contre les trolls de brevets

Même si nous vivons une période difficile, nous ne cessons de travailler pour protéger le monde contre les actions malveillantes des cybercriminels. D’ailleurs, nous avons quelques choses à vous dire ->

Bonjour tout le monde !

Les lecteurs réguliers de ce blog se sont peut-être rendu compte qu’il y a longtemps que nous n’avons pas utilisé notre étiquette trolls de brevet à bon escient. Le dernier article à ce sujet a été publié en mars 2020 pour vous faire part de notre victoire face à Uniloc, juste au moment où le monde entier était confiné pour la première fois. Aujourd’hui, il est temps de rattraper ce retard et de vous mettre à jour sur les trolls de brevet. Heureusement, nous avons de bonnes nouvelles ; ce que nous apprécions grandement vu l’actualité de ces derniers mois…

Les poursuites que le troll de brevet américain Cybersoft IP, LLC a entamées contre nous sont enfin terminées. En voilà une bonne nouvelle. Mais ce n’est pas tout puisqu’en plus nous avons gagné !

Qu’est-ce que ce troll nous voulait ? Pourquoi l’entreprise nous a-t-elle poursuivis en justice ?

L’entreprise a porté plainte contre nous en avril 2021 auprès du tribunal de district du Massachusetts. Le troll contestait notre merveilleuse solution Kaspersky Secure Mail Gateway sous prétexte qu’elle contrevenait à son brevet (US6763467B1) en couvrant un « trafic de réseau qui interceptait sa méthode et son trafic ». Pour être plus précis, une technologie de sécurité de réseau qui vérifie les données transférées via un réseau (notamment par e-mail et les pièces jointes) sur le dispositif de l’utilisateur.

Le brevet déposé concerne une méthode effectuée dans un seul système informatique connecté à un réseau afin d’intercepter, d’examiner et de contrôler toutes les données, sans exception, qui passent par les connexions de transport entre la couche de transport d’un système d’exploitation et les applications de l’utilisateur, et où les données interceptées sont analysées pour déterminer si le contenu doit être scanné pour rechercher des éléments indésirables.

En quelques mots, ce brevet a été déposé pour un système qui ressemble à un pare-feu personnel sur l’ordinateur de l’utilisateur et qui intercepte et analyse les données du réseau. La description du brevet, ses objectifs et ses chiffres (diagramme ci-dessous) confirment clairement tout cela. Le problème c’est que… cette technologie de filtration du trafic réseau installée sur le dispositif de l’utilisateur est très connue et largement utilisée. Elle existe depuis des années dans le monde de la cybersécurité.

En lire plus :Cybersoft IP vs K : encore une victoire contre les trolls de brevets

Analyse des brevets déposés en 2021 : la majorité des brevets des États-Unis et bien d’autres dans le monde entier

Bonjour les amis !

Je me devais de partager cette bonne, non, à vrai dire, excellente nouvelle : en 2021, nous avons obtenu plus de brevets aux États-Unis que n’importe quelle autre entreprise russe ! Et nous avons battu tous les records  puisqu’en 2021 le nombre de brevets octroyés dans le pays a baissé de 7,5 %.

« Selon l’analyse annuelle du classement des brevets publiée par IFI Claims Direct, Kaspersky a été désignée comme la première entreprise russe brevetée aux États-Unis avec 43 brevets publiés en 2021. Tout au long de son histoire, l’entreprise a reçu 412 brevets rien qu’aux États-Unis, avec plus de 1200 brevets dans le monde, notamment en Russie, dans l’UE, en Chine et au Japon. »

D’ailleurs, malgré cette baisse générale du nombre de brevets délivrés l’an dernier, ceux concernant l’apprentissage automatique et l’informatique quantique ont augmenté. Ce n’est qu’une simple piqûre de rappel au cas où vous auriez oublié dans quelle direction le monde moderne évolue. Un grand merci à toute l’équipe de notre service de propriété intellectuelle. Comme toujours, nous travaillons dur, nous travaillons de façon intelligente et nous obtenons des résultats. Souvenez-vous de nos victoires sur les trolls de brevets, ou encore sur Microsoft et Apple lorsqu’il s’agit d’antitrust. Je souhaite aussi remercier nos développeurs qui ont été les premiers à imaginer ces technologies qui connaissent un succès mondial, et je n’exagère pas puisque nos produits obtiennent les meilleurs résultats lors de tests indépendants. Oh oui !

Cette super nouvelle sur nos brevets m’a donné une idée… Pourquoi ne pas analyser de plus près nos réussites en termes de brevets en 2021 ? Il ne s’agit pas seulement de savoir combien mais lesquels, , quand et comment. Pourquoi pas ? Après tout, les articles que j’ai publiés sur mon blog pour vous parler des brevets ont connu un franc succès. Ce résumé va aussi compléter mon analyse de 2021. Tout est prêt. Allons-y !

En 2021, nous avons obtenu 137 brevets et en avons déposé 76 autres. Au total, nous avons donc 1240 brevets et 392 demandes. Voici notre graphique historique des brevets après que nous ayons ajouté ces données :

En lire plus :Analyse des brevets déposés en 2021 : la majorité des brevets des États-Unis et bien d’autres dans le monde entier

Tout sur notre rebranding et comment Midori Kuma est presque devenu notre nouveau logo

Le début du mois de juin 2019 était un mois de juin tranquille, rien ne sortait de l’ordinaire. La terre tournait toujours autour du soleil comme à son habitude, l’été arrivait dans 19 jours,  » Corona  » n’était qu’une marque de bière Mexicaine et personne ne connaissait le mot  » COVID « . Autrement dit, c’était la vie normale telle qu’on la connaissait avant la pandémie : il était possible de faire beaucoup plus de choses qu’aujourd’hui…

Parallèlement, nous avions notre propre emploi du temps et notre propre calendrier, également comme d’habitude. Et puis début juin, il y a 25 mois, un évènement très important était inscrit sur notre calendrier : il s’agit de notre rebranding. Il était temps pour nous de dire au revoir aux anciennes caractéristiques qui définissaient l’entreprise depuis plus de 22 ans (en ce qui concerne le logo, il s’agissait plus particulièrement de la police de caractères et tout ce qui concerne le design comme les couleurs, formes et tout le reste). Nous nous sommes débarrassés du vieux et nous avons embrassés la nouveauté : il s’agissait d’une sorte de réinitialisation, une mise à jour, une Porsche, un renouveau, un changement d’image. Il était temps de créer quelque de différent, plus en adéquation avec notre époque et plus raffiné ; du moins, c’est ce qu’on m’avait dit (je blague). Non, en réalité, c’était plus dans le but de créer nouvelle image qui correspondrait mieux à l’évolution de l’entreprise. En effet, il s’agit d’une étape ambitieuse mais confiante et quelque peu futuriste, comme le demande notre industrie (la cybersécurité).

Tandis que d’autres changent leur logo (légèrement) et c’est tout, en ce qui nous concerne, nous avons bien plus à offrir. Un rebranding complet est un processus long et complexe d’ajustements d’améliorations en ce qui concerne l’identité et la vie de l’entreprise, et non seulement notre image extérieure mais aussi intérieure, par exemple sur la façon dont on interagis avec le public, le style de communication et bien d’autres.

Donc vous l’avez compris, l’article d’aujourd’hui se focalisera sur notre rebranding. Continuez de lire pour en savoir plus….

C’est en 2018 que nous avons commencé ce processus de rebranding mais cela faisait déjà un moment que nous savions que notre bon vieux logo et notre mission correspondaient trop aux années 90/début années 2000 et pas assez 2019. Cela faisait des années que nous avions l’impression qu’il y avait un écart entre nos technologies/nos produits (toujours à la pointe) et l’image de l’entreprise que les utilisateurs perçoivent. Cela fait des années que nous ne sommes plus justes une entreprise qui créée des antivirus mais des solutions de sécurité à large spectre. Pourtant, notre logo faisait toujours très vieux avec ce soi-disant alphabet grec. C’était comme s’il ancrait l’entreprise dans le passé, au temps des CD déjà oubliés depuis longtemps.

Nous nous sommes creusé les méninges pendant presqu’un an, nous y avons beaucoup réfléchi, nous avons comparé, imaginé, pesé le pour et le contre, argumenté, nous nous sommes concertés et nous avons accepté et puis contesté, envisagé, débattu, délibéré… tout ça dans le but de trouver la meilleure solution idéale pour notre rebranding. Notre équipe de conception a proposé pas moins de 300 images pour le design du logo ! Puis, les deux versions finales ont été choisies par moi ! Ce n’est pas que j’étais obstiné, mais c’est que j’étais très obstiné qu’aucune de ces images ne m’inspiraient : aucune ne correspondait à 100 % avec la mission et les valeurs de l’entreprise.

Au fait, voici les prototypes que je n’ai pas accepté :
Certains incidents ont été évité de justesse lors de l’année où on débattait…
En lire plus :Tout sur notre rebranding et comment Midori Kuma est presque devenu notre nouveau logo

L’année 2020 côté financier

Bonjours les amis !

Cela fait un peu plus d’un an que ce maudit virus a chamboulé le monde et a énormément impacté les entreprises, en particulier les PME. On a su dès le début que certaines entreprises n’allaient pas bien s’en sortir. Mais je me suis également demandé comment les cybercriminels se comporteraient et qu’est-ce qu’il arriverait à notre entreprise pendant cette période de quarantaine plus ou moins longue.

Dans l’ensemble, il était évident que la cybercriminalité n’allait pas trop être touchée. Les escrocs ont continué de « travailler depuis chez eux » comme à leur habitude. Pas grand-chose n’a changé pour eux, sauf peut-être le fait que les victimes passent plus de temps en ligne à cause des mesures de quarantaine et de confinement. Bien entendu, ce virus biologique n’a eu aucun effet sur la bande passante Internet.

Mais qu’en est-il de notre entreprise qui lutte contre ces cybercriminels ?

Il y a un an, j’ai fait part de ma conviction selon laquelle notre entreprise serait touchée de deux façons : positivement et négativement. D’une part, certains de nos clients feraient face à des difficultés, et d’autres, malheureusement, feraient faillite. Nous subirions très certainement des pertes de revenu. Mais d’un autre côté, certaines entreprises commenceraient à investir davantage dans la cybersécurité car leurs employés travailleraient depuis chez eux et les cybercriminels seraient sûrement plus actifs. Notre façon de gérer ces deux options aurait un impact direct sur nos résultats.

Alors mesdames et messieurs, jeunes hommes et jeunes filles, j’ai le plaisir de vous informer que le lundi 19 avril, nous avons partagé nos résultats financiers de l’année précédente. Vous vous demandez sûrement « Pourquoi en avril ? », et bien car nous voulions faire un audit financier d’abord.

Et donc… *roulements de tambour*…

C’est l’heure de comptabiliser les nombres et de faire le bilan de l’année dernière. Nous avons également tenu une conférence de presse pour marquer l’événement et pour partager avec les journalistes nos résultats financiers.

Malgré la pandémie désormais très connue, la crise économique mondiale et toutes les instabilités et incertitudes politiques, nos résultats n’étaient non seulement pas très mauvais, mais ils étaient même très bons ! Après une année de COVID, nous n’avons pas seulement survécu, mais nous avons grandi ! Et ceci malgré le changement de lieu de travail de nos K-folks, qui ont quitté les bureaux pour travailler de chez eux, avec tous les coûts et la réorganisation que cela a engendré, l’approvisionnement massif de nos produits à ceux qui en avaient le plus besoin, et toutes les conséquences non prévues.

Très bien. Je commence avec les gros chiffres : le revenu global de l’entreprise pour l’année 2020 a atteint 704 millions de dollars, c’est-à-dire 2,8 % de plus qu’en 2019.

En lire plus :L’année 2020 côté financier

Top 5 des technologies K qui nous ont permis de figurer parmi les 100 entreprises les plus innovantes du monde !

Nous avons encore réussi. Nous figurons pour la deuxième fois dans le Top 100 des entreprises les plus innovantes à l’international de Derwent, une liste prestigieuse d’entreprises internationales établie en fonction de leur portefeuille de brevets. Je dis prestigieuse puisque ce classement nous permet de côtoyer certaines entreprises comme Amazon, Facebook, Google, Microsoft, Oracle, Symantec ou encore Tencent. Cette liste n’est pourtant pas une simple sélection des entreprises qui semblent avoir de l’importance et utiliser les brevets de façon intelligente ; elle repose sur le travail analytique et titanique de Clarivate Analytics qui a évalué plus de 14 000 ( ! ) entreprises candidates, selon différents critères, le plus important étant le taux de citations ou, en d’autres termes, l’  » influence « . Et si cela n’était pas suffisant, en cinq ans le seuil minimal à atteindre en termes d’influence pour figurer dans le top 100 a augmenté de 55 % :

Pour être un peu plus précis, le taux de citations est l’influence des inventions sur les innovations d’autres entreprises. Dans notre cas, il s’agit de voir à quelle fréquence les autres inventeurs nous mentionnent dans leurs brevets. Si une autre entreprise vous mentionne officiellement dans son brevet alors cela signifie que vous avez inventé quelque chose de nouveau, réellement innovant et utile qui aide l’entreprise en question à proposer  » quelque chose de nouveau, réellement innovant et utile « . Il est évident qu’un tel système de reconnaissance du travail d’autres innovateurs n’accorde aucune place à ceux qui présentent de simples copies de brevets. Voilà pourquoi ces brevets ne peuvent en aucune façon figurer dans ce top 100. En attendant, nous, nous y sommes. Nous figurons dans le top 100 des entreprises internationales innovantes qui font vraiment avancer les choses en technologie.

Ouah, quel honneur. C’est comme si on nous félicitait pour tout notre dur labeur. Une véritable reconnaissance de nos contributions. Hourra !

Nous sommes encore sous le choc, et euphoriques, mais en tant que petit curieux, je me suis demandé quelles sont les cinq technologies brevetées les plus mentionnées, et donc les plus influentes. Je me suis penché sur la question et voilà ce que j’ai découvert…

En lire plus :Top 5 des technologies K qui nous ont permis de figurer parmi les 100 entreprises les plus innovantes du monde !

Un système d’alerte précoce pour les cyber-gardes (alias Adaptive Anomaly Control – contrôle des anomalies adaptatif)

Le plus probable, si vous travaillez normalement dans un bureau, c’est que votre bureau soit actuellement plutôt ou totalement vide, juste comme le nôtre. Dans notre siège, vous ne verrez que quelques gardes de sécurité, et le seul bruit que vous entendrez sera le bourdonnement des systèmes de refroidissement de nos serveurs lourdement chargés, étant donné que tout le monde est branché et travaille depuis chez soi.

Vous n’imaginez pas que, sans être vus, nos technologies, nos experts et nos produits travaillent 24 heures sur 24 et 7 jours sur 7 pour protéger le cybermonde. Mais c’est le cas. Cependant, les méchants préparent en même temps de nouveaux tours de passe-passe. Heureusement, nous disposons d’un système d’alerte précoce dans notre collection d’outils de cyberprotection. Mais j’y reviendrai dans un instant…

Le rôle d’un responsable de la sécurité informatique ressemble en quelque sorte à celui d’un garde forestier : pour attraper les braconniers (malwares) et neutraliser la menace qu’ils représentent pour les habitants de la forêt, il faut d’abord les trouver. Bien sûr, vous pouvez simplement attendre que le fusil d’un braconnier se déclenche et courir vers l’endroit d’où provient le son, mais cela n’exclut pas la possibilité que vous arriviez trop tard et que la seule chose que vous puissiez faire soit de nettoyer les dégâts.

Vous pourriez devenir complètement paranoïaque en plaçant des capteurs et des caméras vidéo partout dans la forêt, mais vous pourriez alors vous retrouver à réagir à chaque bruissement capté (et bientôt à perdre le sommeil… et la tête). Mais lorsque vous réalisez que les braconniers ont appris à très bien se cacher, et en fait, à ne laisser aucune trace de leur présence, il devient alors évident que l’aspect le plus important de la sécurité est la capacité à séparer les événements suspects des événements réguliers et inoffensifs.

De plus en plus, les cyberbraconniers de notre époque se camouflent à l’aide d’outils et d’opérations parfaitement légitimes.

Quelques exemples : l’ouverture d’un document dans Microsoft Office, l’octroi d’un accès à distance à un administrateur système, le lancement d’un script dans PowerShell et l’activation d’un mécanisme de cryptage des données. Ensuite, il y a aussi la nouvelle vague de malwares sans fichiers qui ne laissent aucune trace sur un disque dur, ce qui limite sérieusement l’efficacité des approches traditionnelles de la protection.

Exemples : (i) L’acteur de menaces Platinum a utilisé des technologies sans fichier pour accéder à des ordinateurs d’organisations diplomatiques (ii) des documents de bureau avec une charge utile malveillante ont été utilisés pour des infections de phishing dans les opérations de l’APT de DarkUniverse ; et il y a encore bien d’autres cas. Un autre exemple : le crypteur sans fichier  » Mailto  » (alias Netwalker), qui utilise un script PowerShell pour charger le code malveillant directement dans la mémoire des processus système de confiance.

Maintenant, si la protection traditionnelle n’est pas à la hauteur, il est possible d’essayer d’interdire aux utilisateurs toute une série d’opérations, et d’introduire des politiques strictes sur l’accès et l’utilisation des logiciels. Cependant, dans ce cas, les utilisateurs et les méchants finiront probablement par trouver des moyens de contourner les interdictions (tout comme la prohibition de l’alcool a toujours été contournée).

Il vaudrait beaucoup mieux trouver une solution permettant de détecter les anomalies dans les processus standard et d’en informer l’administrateur du système. Mais l’essentiel est qu’une telle solution apprenne à déterminer automatiquement et précisément le degré de  » suspicion  » des processus dans toute leur diversité, afin de ne pas tourmenter l’administrateur du système en criant constamment au loup !

Eh bien, vous l’avez deviné ! Nous avons une solution de ce type : Adaptive Anomaly Control, un service construit sur trois composants principaux – des règles, des statistiques et des exceptions.

En lire plus :Un système d’alerte précoce pour les cyber-gardes (alias Adaptive Anomaly Control – contrôle des anomalies adaptatif)

Les années du cyberpassé – partie 8 : 1998-2000 (trois grandes premières : restructuration, bureaux à l’étranger, conférence des partenaires).

Les premières années après la création de l’entreprise ont été les plus difficiles de toutes, car nous avons vraiment dû mettre les bouchées doubles, et presque nous tuer à la tâche. C’était comme si nous comprimions un ressort pour qu’il ne soit libéré que plus tard afin de faire monter la société haut et loin, au-delà de l’horizon et dans la bonne direction pour réaliser nos rêves fous (faites attention aux rêves vous que vous avez :)). Après l’enregistrement officiel de KL en 1997, nous avons fait beaucoup de choses avec très peu de moyens. Nous n’avions pas d’argent et presque pas de ressources, mais la cybersécurité n’attend personne : de nouvelles technologies étaient nécessaires et le marché exigeait de nouveaux produits. Nous avons donc travaillé dur, la plupart des week-ends, et presque sans jamais prendre de vacances. Alors, sur quoi travaillions-nous ? Voici un exemple…

Juin 1998 : l’épidémie globale du virus Tchernobyl (CIH) Tous les autres antivirus ne l’ont pas remarquée ou ne s’en sont pas préoccupés, ou étaient en vacances ; nous étions presque les seuls à avoir un produit qui non seulement attrapait le virus, mais soignait aussi les systèmes infectés par cet agent pathogène. Le web (ce n’était déjà plus seulement Runet:)) était bourré de liens vers notre site C’est ainsi que nos réactions ultra-rapides aux nouvelles menaces et notre capacité à lancer des mises à jour rapides avec des procédures de traitement de menaces spécifiques ont été récompensées. Alors que cette menace virale spécifique s’installait de manière incroyablement astucieuse dans la mémoire de Windows, attrapait les appels d’accès aux fichiers et infectait les fichiers exécutables il a fallu un processus de dissection personnalisé qui aurait été impossible à mettre en œuvre sans la flexibilité des mises à jour.

Donc oui, nous obtenions de bons résultats et nous progressions. Et puis, deux mois plus tard, nous avons reçu un coup de main (du destin ?!) des plus inattendus…

Août 1998 : la crise financière russe, avec la dévaluation du rouble, et le défaut de paiement de la Russie sur sa dette. Dans l’ensemble, c’était quelque chose de négatif pour la plupart des Russes, mais nous avons eu beaaaaaucoup de chance : tous nos partenaires étrangers nous payaient d’avance en devises étrangères. Nous étions exportateurs. Notre monnaie de fonctionnement était un rouble fortement dévalué ; et nos revenus des dollars, livres sterling, yens, etc. Nous étions riches !

Mais nous ne nous sommes pas reposés sur nos lauriers et notre coup de chance en pleine crise financière. Nous avons utilisé cette période pour embaucher de nouveaux managers professionnels (et donc chers !). Rapidement, nous avons eu des directeurs financiers, techniques et commerciaux. Et un peu plus tard, nous avons commencé à embaucher des cadres intermédiaires. C’était notre toute première « restructuration » – lorsque « l’équipe » est devenue une « entreprise » ; lorsque les relations amicales et organiques ont été remplacées par une structure organisationnelle, des subordinations et une responsabilité plus formelles. La restructuration aurait pu être douloureuse ; heureusement, elle ne l’a pas été : nous nous en sommes simplement sortis sans trop de nostalgie de notre époque « familiale ».

// Pour tout savoir sur ce type de restructuration / réorganisation dentreprise, je recommande fortement le livre Reengineering the Corporation par Michael Hammer et James Champy. Il est excellent. Vous pouvez trouver dautres livres ici.

En 1999, nous avons ouvert notre première filiale à létranger à Cambridge, au Royaume-Uni. Mais pourquoi, alors que le marché britannique est peut-être l’un des plus difficiles à pénétrer pour les étrangers ? En fait, c’était un peu par hasard (je vous raconte tout ensuite). Mais il fallait bien commencer quelque part, et de toute façon, nos premières expériences – y compris les nombreuses erreurs et leçons apprises – au Royaume-Uni ont contribué à faciliter le développement des affaires dans d’autres pays…

Notre toute première tournée de presse a eu lieu à Londres, puisque nous étions de toute façon dans la capitale britannique pour une conférence sur la sécurité informatique (InfoSecurity Europe). Lors de cette tournée de presse, nous avons fièrement annoncé notre intention d’ouvrir un bureau au Royaume-Uni. Les journalistes se demandaient simplement pourquoi, étant donné que Sophos, Symantec, McAfee, etc. étaient déjà confortablement installés dans le pays. Nous sommes donc passés en mode geek : nous leur avons tout dit sur le caractère véritablement innovant de notre entreprise, sur nos technologies et produits uniques et sur le fait que – grâce à eux – nous sommes meilleurs que tous les concurrents qu’ils venaient de mentionner. Tout cela a été noté avec un intérêt très surprenant (et un autre bonus : depuis lors, on ne nous a jamais posé de questions vraiment stupides !) Pendant ce temps, à InfoSecurity Europe, j’ai fait mon tout premier discours devant un public anglophone composé de… deux journalistes, qui se sont avérés être nos amis de Virus Bulletin qui en savaient déjà beaucoup sur nous ! C’était cependant la première (et la dernière) fois que nos présentations ne faisaient pas salle combe (au fait : plus de détails ici).

En ce qui concerne notre toute première conférence des partenaires, voici comment cela s’est passé…

Au cours de l’hiver 1998-1999, nous avons été invités à la conférence de notre partenaire OEM F-Secure (Data Fellows). C’est ainsi que nous avons découvert le format de la conférence des partenaires et l’idée formidable qu’elle représente : rassembler tout le monde, partager les dernières informations sur les technologies et les produits, écouter les préoccupations et les problèmes des partenaires et discuter de nouvelles idées. Nous ne sommes pas du genre à traîner – en un an (en 1999), nous avons organisé notre propre conférence de partenaires, en invitant à Moscou une quinzaine de partenaires d’Europe, des États-Unis et du Mexique. Nous voici tous réunis sur la place de la Révolution, à côté de la Place Rouge et du Kremlin :

En lire plus :Les années du cyberpassé – partie 8 : 1998-2000 (trois grandes premières : restructuration, bureaux à l’étranger, conférence des partenaires).

Jouer à cache-cache avec des malwares sans fichiers

Le code malveillant s’infiltre partout…

C’est un peu comme un gaz, qui remplit toujours l’espace dans lequel il se trouve : il passera toujours par les  » trous  » (vulnérabilités) d’un système informatique. Notre travail (enfin, l’une de nos tâches) consiste donc à trouver ces trous et à les boucher. Notre objectif est de faire cela de manière proactive ; c’est-à-dire, avant que le malware ne les retrouve. Et s’il en détecte, nous sommes là, prêts à le repousser.

En fait, c’est la protection proactive et la capacité à prévoir les actions des attaquants et à créer une barrière à l’avance qui distinguent une cybersécurité de haute technologie vraiment excellente du simple marketing.

Aujourd’hui, je voudrais vous parler d’une autre façon dont notre action proactive protège contre un autre type de malware, particulièrement rusé. Oui, je veux vous parler de ce qu’on appelle le code malveillant sans fichier (et donc sans  » corps « ) : une dangereuse race de malwares fantômes qui ont appris à utiliser les inconvénients architecturaux de Windows pour infecter les ordinateurs. Et aussi de notre technologie brevetée qui lutte contre cette cyber-maladie bien particulière. Et je le ferai comme vous l’aimez : des choses complexes expliquées simplement, de manière légère et captivante comme dans un cyber-thriller avec des éléments de suspense ;).

Tout d’abord, que veut dire sans fichier ?

Eh bien, le code sans fichier, une fois introduit dans un système informatique, ne crée pas de copies de lui-même sous forme de fichiers sur le disque, évitant ainsi la détection par les méthodes traditionnelles, par exemple avec un moniteur antivirus.

Alors, comment un tel  » malware fantôme  » existe-t-il à l’intérieur d’un système ? Eh bien, il réside dans la mémoire de processus fiable ! Eh oui ! Beurk !

Dans Windows (et pas seulement dans Windows, en fait), il y a toujours eu la possibilité d’exécuter du code dynamique, notamment utilisé pour la Compilation juste à temps. Cela consiste en la transformation d’un code de programme en code machine non pas immédiatement, mais au fur et à mesure des besoins. Cette approche améliore la vitesse d’exécution de certaines applications. Et pour prendre en charge cette fonctionnalité, Windows permet aux applications de placer du code dans la mémoire de processus (ou même dans une autre mémoire de processus fiable) et de l’exécuter.

Ce n’est pas vraiment une bonne idée du point de vue de la sécurité, mais bon… C’est comme ça que des millions d’applications écrites dans Java, .NET, PHP, Python et autres langages et pour d’autres plateformes fonctionnent depuis des décennies.

Comme on pouvait s’y attendre, les criminels du web ont profité de la possibilité d’utiliser du code dynamique, en inventant diverses méthodes pour en abuser. Et l’une des méthodes les plus pratiques et donc les plus répandues qu’ils utilisent est ce qu’on appelle l’injection de PE par réflexion. La quoi ? Laissez-moi expliquer (c’est plutôt intéressant, restez avec moi !)

Lancer une demande en cliquant sur son icône est assez simple et direct, non ? En fait, cela semble simple, mais sous le capot, il y a toutes sortes de choses qui se passent : un chargeur système est appelé, qui prend le fichier respectif sur le disque, le charge dans la mémoire et l’exécute. Et ce processus standard est contrôlé par des moniteurs antivirus, qui vérifient la sécurité de l’application à la volée.

Lorsqu’il y a une  » réflexion « , cependant, le code est chargé en contournant le chargeur du système (et donc en contournant également le moniteur antivirus). Le code est placé directement dans la mémoire d’un processus fiable, créant ainsi une  » réflexion  » du module exécutable original. Cette réflexion peut être exécutée comme un véritable module chargé par une méthode standard, mais elle n’est pas enregistrée dans la liste des modules et, comme mentionné ci-dessus, elle n’a pas de fichier sur le disque.
 
De plus, contrairement aux autres techniques d’injection de code (par exemple, via le shellcode), l’injection par réflexion permet de créer du code fonctionnellement avancé dans des langages de programmation de haut niveau et des cadres de développement standard, sans aucune limitation ou presque. Le résultat : (i) pas de fichiers, (ii) une dissimulation derrière un processus fiable, (iii) l’invisibilité face aux technologies de protection traditionnelles, et (iv) le champ libre pour faire des ravages.

Alors, bien entendu les injections par réflexion ont eu un succès fou auprès des développeurs de code malveillant : Ils sont d’abord apparus dans des packs d’exploitation. Ensuite, des cyber-espions ont fait leur apparition (par exemple, Lazarus etTurla), puis des cybercriminels avancés (comme c’est une façon utile et légitime d’exécuter un code complexe !), puis de petits cybercriminels.

Maintenant, du côté des antivirus, trouver une telle infection sans fichier, c’est comme chercher une aiguille dans une cyber-botte de foin. Pas étonnant que la plupart des marques de cybersécurité ne s’en sortent pas trop bien. Certaines touchent à peine à ce type de problèmes.

En lire plus :Jouer à cache-cache avec des malwares sans fichiers

Kaspersky Exploring Russia : tourisme ÷ confinement × accélérateur = la combinaison gagnante !

À la mi-printemps de cette année, au cœur de la période « personne ne sort », il était évident que le tableau était des plus sombres pour le monde entier et que les choses n’allaient pas changer de sitôt. Les entreprises seraient durement touchées, c’est le moins que l’on puisse dire, et le tourisme serait dévasté puisque plus d’une entreprise ne survivrait pas à cette crise. À K, nous avons fait ce que nous faisons souvent toujours, à savoir faire travailler nos méninges, et nous avons décidé… d’aider le secteur le plus affecté.

J’ai annoncé début mai que les inscriptions à l’accélérateur de tourisme « Kaspersky Exploring Russia » étaient ouvertes. Je n’avais pas imaginé que nous recevrions plus de 500 candidatures provenant de 47 pays (près d’un quart de tous les pays du monde) et des cinq continents (en avant l’Antarctique !). En les analysant, je me suis rendu compte du potentiel qu’abrite le tourisme : tellement d’idées, de start-ups incroyables et de projets en cours. Il n’y avait aucune restriction géographique : les participants pouvaient s’inscrire depuis n’importe où (c’est ce qu’ils ont fait), et ils devaient décrire leurs idées pour exploiter le potentiel touristique de la Russie ou pour les mettre en place en Russie. Nous avons étudié toutes les candidatures et avons retenu les 10 meilleures idées. Ces 10 projets ont intégré notre programme d’accélération.

Les 10 participants ont assisté à des cours et des conférences en ligne pendant deux semaines. Chaque équipe avait toute une série de rendez-vous spécialement pensés avec son tuteur. Certains experts du tourisme ont partagé leurs expériences et leur savoir-faire avec les participants pour les aider à avoir une entreprise prospère. Parmi les tuteurs, on trouvait notamment Vikas Bhola, directeur régional de Booking.com, Gemma Rubio, fondatrice de Define the Fine, Vadim Mamontov, directeur général de Russia Discovery et bien d’autres experts. Les participants ont également profité de ces deux semaines pour peaufiner leurs présentations, qu’ils ont remises au jury dont je faisais partie.

Les finalistes ont présenté leur projet la semaine dernière et ont répondu à nos questions lors de la journée finale de démonstration de l’accélérateur. Nous avons choisi trois vainqueurs qui ont reçu les prix offerts par nos partenaires. Laissez-moi vous parler un peu de chacun d’eux…

Le premier prix a été attribué à 360 Stories. Il s’agit d’une application mobile de réalité augmentée avec un vrai guide. Ils disent que leur mission est de « moderniser les visites guidées traditionnelles en proposant des visites interactives et en temps réel réalisées par de vrais guides ». Avec 360 Stories les visiteurs peuvent désormais flâner dans leurs villes préférées et visiter les sites touristiques en s’inscrivant à une visite personnalisée avec un guide local et en temps réel.

D’ailleurs, 360 Stories a bien failli perdre puisque le responsable ne s’est pas réveillé et ne s’est pas présenté ! Il devait intervenir à 5 h 30 heure locale (New York). À cause de ce créneau horaire très matinal, M. 360 Stories n’a pas entendu son réveil. Il s’est finalement réveillé et a appelé les organisateurs pour leur demander pourquoi il avait 20 appels en absence. Ils allaient tous lui dire qu’il allait gagner mais lui ont finalement demandé où il était passé !

En lire plus :Kaspersky Exploring Russia : tourisme ÷ confinement × accélérateur = la combinaison gagnante !