septembre 25, 2013
Découvrez KIS 2014 – 2ème partie : Alpha, Beta, Zeta
Re-bonjour les amis !
Qu’y-a-t-il de nouveau et d’intéressant dans KIS 2014 pour sauver vos données des cybercriminels ? L’invité d’honneur du jour est la technologie ZETA Shield.
On pourrait décrire ZETA Shield comme un microscope antivirus high-tech pour la détection et l’élimination des malwares les plus rusés, qui se cachent tout au fond des fichiers les plus complexes. En bref, il s’agit de notre technologie de défense unique contre les futures menaces, une technologie qui peut traquer les cyber-contaminations inconnues dans les endroits les plus inattendus.
Pour mieux comprendre ce concept, prenons l’exemple des poupées russes.
Ouvrez-en une et vous en trouverez une autre, et bien au chaud dans celle-ci encore une autre, et ainsi de suite. Et quand il s’agit de l’endroit où les programmes problématiques se cachent, c’est une analogie assez juste. Les malwares font de leur mieux pour s’infiltrer dans l’essence même de leur environnement, et ils ont même recours à la « chirurgie esthétique » digitale pour changer leur apparence et se cacher des programmes antivirus. Ils s’infiltrent dans les fichiers, les conteneurs chiffrés, les fichiers multimédias, les documents, les scripts, etc. – les possibilités sont sans fin. La tâche du programme antivirus est de creuser dans l’essence actuelle de tous ses différents objets, en sonder l’intérieur, et en extraire les malwares.
Et c’est tout ? Eh bien… non, ce n’est pas aussi simple que ça.
Les programmes antivirus peuvent décortiquer les fichiers compliqués depuis longtemps. Par exemple, depuis le tout début des années 90, d’autres compagnies utilisent notre système antivirus en particulier en raison de sa capacité à décompresser les fichiers archivés. Mais décompresser les fichiers ne représente que la moitié du travail. Vous avez besoin d’un instrument assez intelligent pour ne pas se contenter de décortiquer les fichiers mais qui peut aussi analyser ces « poupées russes », comprendre qui fait quoi, établir des connections entre les différents événements et enfin, diagnostiquer tout cela pro-activement – sans signatures et mises à jour classiques. C’est un peu comme le travail du détective qui tente de localiser des armes chimiques binaires potentielles. De telles armes sont constituées de composants individuels qui seuls sont sans danger, mais mélangés ensemble, constituent une arme mortelle.
Et c’est là qu’entre en jeu ZETA Shield.
Et juste à temps, puisque le nombre et la perversité des attaques ciblées et zero-day continuent d’augmenter. La technologie ZETA a été conçue pour combattre ces attaques (ZETA vient de l’anglais Zero-day exploits & targeted attacks).
ZETA Shield suit un autre petit nouveau de KIS 2014 importé depuis nos très résistants produits corporatifs – notre module des applications de confiance. ZETA est également originaire de nos solutions corporatives, où il est plus que prouvé qu’elle en vaut la peine et c’est pourquoi, nous l’avons adaptée à nos produits destinés aux particuliers. À ma connaissance, il s’agit de la première technologie de ce genre destinée aux particuliers.
Le travail de ZETA peut être divisé en deux étapes :
Premièrement, vient la partie mécanique – la cible doit être démontée. Par exemple, un document Word pourrait contenir des éléments intégrés – données flash, autres documents, et même un système d’exploitation ou une série de virus – il peut s’agir de n’importe quoi ! Notre tâche est d’identifier la nature de ces éléments (et Dieu sait qu’ils aiment se cacher !) et les classifier.
C’est ensuite que cela devient plus intéressant… Le module d’analyse heuristique arrive – mesure le contenu, les différentes couches et la relation qu’elles ont entre elles afin de détecter les anomalies et de définir le niveau de risque du fichier concerné (s’il s’agit ou non d’une arme binaire).
Il s’agit d’une décision commune prise avec le Kaspersky Security Network, notre technologie Cloud, qui donne au programme antivirus des statistiques sur la détection de symptômes suspicieux similaires sur les ordinateurs d’autres utilisateurs. À travers KSN, nous étudions l’étendue et la distribution géographique des menaces et nous pouvons identifier les anomalies typiques d’une attaque ciblée ainsi qu’obtenir de nombreuses données utiles pour nous aider à protéger les utilisateurs à l’avenir.
Une autre analogie ! Ce que ZETA Shield fait au début est un peu comme identifier une voiture à partir de ses composants. Un corps en plastique ? Conduite avec un volant ? Un moteur de voiture ? Allemande ? Il doit s’agir d’une Trabant ! Facile !
Mais ce qu’elle fait ensuite c’est décomposer la Trabant pour en analyser les pièces une par une et voir comment elles fonctionnent – et ça nécessite une sacrée intelligence.
Prenez l’exemple des attaques ciblées au mois de mars dernier : les victimes ciblées ont reçu des documents RTF dotés de titres tentant tels que « Résultats financiers pour les neuf premiers mois de 2012 » envoyés soi-disant par Rubin Submarine Manufacturing Company (oui ce genre d’ingénierie sociale fonctionne toujours). Tout au fond du document, un exploit et un malware étaient cachés mais – et il y a un mais – l’antivirus qu’ils utilisaient ne les a pas reconnus – les cybercriminels les avaient parfaitement cachés parmi d’autres déchets ! Par contre, ZETA Shield les a immédiatement localisés dans le dangereux document RTF !
Dans le monde corporatif, une des caractéristiques de cette technologie est son habilité à « décortiquer » non seulement les fichiers mais également les flux de données. En fin de compte, les fichiers font toujours partie de quelque chose de plus important, et c’est en adoptant un angle plus large (tous les composants de l’arme binaire) qu’il est possible de voir les relations les plus compliquées et prendre de meilleures décisions.
Hélas, dans KIS 2014, ZETA Shield a dû être quelque peu limitée afin de privilégier sa productivité : la version destinée aux particuliers n’analyse que des fichiers et ce, uniquement sur demande. Néanmoins, même avec un système d’hygiène adéquat (comme par exemple, une analyse complète et régulière de l’ordinateur), il s’agit toujours d’un point supplémentaire important pour défendre les utilisateurs des attaques ciblées. (Par exemple, les responsables de département pourraient être ciblés aussi bien au travail qu’à la maison sur leur ordinateur personnel. À la maison, ils n’ont malheureusement pas de protection au niveau du serveur corporatif. Et c’est là qu’entre en jeux ZETA Shield, qui travaille avec le mode Applications de confiance et Automatic Exploit Prevention pour filtrer correctement les attaques qui utilisent plusieurs vulnérabilités.)
Des questions logiques ici seraient (i) pourquoi inclure cette technologie intelligente dans un produit pour les particuliers, et (ii) qui envoie une attaque ciblée sur un ordinateur personnel (ou appartenant à une petite entreprise) ?
Premièrement, voyons le premier point :
On croit souvent que les attaques ciblées visent toujours des gouvernements, des organisations de défense, des installations d’infrastructures critiques, des hommes politiques, ou des compagnies commerciales telles que Microsoft par exemple. En outre, on pense souvent que la complexité étonnante de telles attaques est digne d’Hollywood.
Non et non.
La raison expliquant cette première idée fausse vient du fait que la plupart des médias ne parlent que des attaques les plus importantes. Et pour ce qui est de la deuxième idée fausse, elle vient d’une abondance de termes techniques incompréhensibles, ou au contraire, d’un manque d’information et du cheminement typique : « Ha, ils ont attaqué le ministère, et les ministères emploient des moyens de sécurité professionnels et ont de bonnes défenses, ce qui signifie que les attaques ciblées doivent provenir de vrais génies ».
Mais en réalité presque n’importe quel utilisateur ou organisation peut être la victime d’une attaque ciblée, comme cela a été démontré par le groupe de pirates, Winnti, ou par l’existence de spywares tels que FinFisher. Et n’oubliez pas que les menaces informatiques sont parfois incontrôlables – une attaque ciblée peut devenir hors de contrôle et toucher de nombreux innocents (y compris dans son propre camp !).
Et pour ce qui de la complexité apparente des attaques ciblées, eh bien, le mot « apparente » résume bien la réalité. Oui, il s’agit de cyber-opérations compliquées (telles que Stuxnet et Flame). Mais la grande majorité sont constituées de méthodes connues accompagnées d’une pincée d’ingénierie sociale. Et elles deviennent en réalité de plus en plus faciles et de moins en moins chères. Vous pouvez acheter des kits d’exploit pour environ mille euros et le monter vous-même comme un kit modèle.
Enfin, nous en venons à la raison principale d’ajouter une technologie intelligente et une protection multi-niveaux dans des produits destinés aux particuliers.
N’importe quelle invention, y compris une invention malveillante, a un cycle de vie. Tôt ou tard, les cybercriminels trouveront un moyen d’appliquer même la plus complexe des attaques qui étaient auparavant réservées aux professionnels de haut-niveau (ouip, la commercialisation des attaques ciblées). Mais nous sommes prêt à faire face : KIS peut déjà résister à de sérieuses attaques de la part des malwares de demain !
En résumé : nous sommes prêts à faire face. Et désormais, vous l’êtes aussi.