août 14, 2015
La magie des sources anonymes
Qui a tué John F. Kennedy ?
Qui contrôle le triangle des Bermudes ?
Quel est le but des francs-maçons ?
C’est facile ! Les réponses à ces questions ne pourraient pas être plus simples. Tout ce que vous avez à faire est d’ajouter : « selon une source anonyme » … et voilà ! Vous avez les réponses à toutes les questions, sur tous les sujets ou sur toutes les personnes. Et ces réponses paraissent des plus vraisemblables, non pas du fait de leur crédibilité, mais compte tenu du prestige accordé, en général, au média qui dévoile l’histoire.
note to self: when I publish my next APT report, I'll make sure to quote at least two anonymous sources, for added credibility.
— Stefan Tanase (@stefant) August 14, 2015
Récemment, Reuters a eu une « exclusivité mondiale » concernant le secteur des antivirus. Son article est rempli de fausses affirmations sensationnelles. Il prétend que Kaspersky Lab (KL) a créé des malwares ciblés très spécifiques et les a envoyé anonymement à d’autres concurrents anti-malware. KL aurait eu soi-disant pour but de leur causer de sérieux problèmes et de nuire à leur part de marché. Mais bien sûr ! Toutefois, ils ont oublié d’ajouter que nous faisons apparaître tous ces malwares comme par magie, pendant nos sessions de bania (bains publics russes à vapeur, type hammam), après avoir laissé dehors les ours que nous montons.
I don’t usually read @reuters. But when I do, I see false positives. For the record: this story is a complete BS: https://t.co/m0Rcy2Vm6Y
— Eugene Kaspersky (@e_kaspersky) August 14, 2015
L’histoire de Reuters est fondée sur les informations fournies par des anciens employés de KL qui sont restés anonymes. Dans ce cas, les mensonges sont justes absurdes. Peut-être que ces sources ont réussi à impressionner les journalistes, mais d’après moi, publier une telle « exclusivité » sans la moindre preuve n’est pas du bon journalisme. Je suis curieux de voir ce que ces « ex-employés » vont dire de nous la prochaine fois qu’ils parleront aux médias, et je me demande qui serait capable de croire leurs bêtises.
En réalité, l’histoire de Reuters est une compilation de nombreux faits qui relèvent de la pure fiction.
To be honest: its quite annoying all these insinuating stories about Kaspersky. Haven't seen any solid evidence nor trustworthy sources.
— Rickey Gevers (@UID_) August 14, 2015
En 2012-2013, le secteur des anti-malwares a beaucoup souffert de problèmes graves concernant des faux positifs. Malheureusement, nous faisions partie des entreprises les plus touchées. Il se trouve que ce fut une attaque coordonnée contre notre secteur : quelqu’un répandait un logiciel légitime qui contenait des codes malveillants et qui ciblait les moteurs antivirus spécifiques de nombreuses entreprises, y compris ceux de KL. Nous ne savons toujours pas qui était derrière cette attaque, mais on affirme à présent que c’était moi ! Je ne m’y attendais vraiment pas et je suis très surpris de cette accusation sans fondement !
Voici ce qu’il s’est passé : en novembre 2012, nos produits ont créé de faux positifs sur plusieurs fichiers qui étaient en réalité légitimes. Ceux-ci se trouvaient sur la plateforme de distribution de contenus en ligne de Steam, le game center de Mail.ru et la messagerie instantanée de QQ. Une enquête interne a montré que ces incidents ont eu lieu à cause d’une attaque coordonnée par une tierce personne.
Pendant les mois qui ont précédé les incidents, par le biais des plateformes d’échange d’informations de notre secteur tel que le site Internet VirusTotal, nos laboratoires de recherche contre les malwares avaient reçu, à de nombreuses reprises, des fichiers légitimes légèrement modifiés provenant de Steam, de Mail.ru et de QQ. Le(s) créateur(s) de ces fichiers leur avaient ajouté des bouts de codes malveillants.
@DavisSec –> I agree. @e_kaspersky is very enthusiastic about #cybersecurity, but an industry saboteur seems unlikely. cc:@josephmenn
— John Bumgarner (@JohnBumgarner) August 14, 2015
Ensuite, nous en sommes arrivés à la conclusion que les attaquants savaient déjà comment les algorithmes de détection de ces entreprises fonctionnaient, et qu’ils appliquaient les codes malveillants à un endroit où ils savaient que les systèmes automatiques n’iraient pas les chercher.
Les nouveaux fichiers reçus étaient alors analysés comme malveillants et ajoutés à notre base de données. Au total, nous avions reçu des douzaines de fichiers légitimes qui comprenaient des codes malveillants.
Les faux positifs ont commencé à apparaître une fois que les propriétaires légitimes des fichiers ont sorti des versions actualisées de leurs logiciels. Le système comparait les fichiers avec la base de données des malwares (qui comprenait des fichiers très similaires) et estimait que les fichiers légitimes étaient malveillants. Par la suite, nous avons mis à jour notre algorithme de détection pour éviter de telles détections.
En attendant, les attaques se sont poursuivies en 2013, et nous avons continué de recevoir des fichiers légitimes modifiés. Nous nous sommes aussi rendu compte que notre entreprise n’était pas la seule à être visée par cette attaque : d’autres acteurs du secteur recevaient aussi ces fichiers et les détectaient par erreur.
@davidu @josephmenn @e_kaspersky Vikram @symantec has stated they deeply investigated the FP issue in '13 and findings != K
— Christopher M Davis (@DavisSec) August 14, 2015
En 2013, une réunion à huis clos a été organisée entre les leaders de la cybersécurité, certaines entreprises de softwares également touchées par l’attaque et des vendeurs, non concernés par le problème, mais qui en avaient connaissance. Pendant cette réunion, les participants ont échangé des informations sur les incidents, ont essayé de comprendre pourquoi ces derniers s’étaient produits et ont élaboré un plan d’action. Malheureusement, nous n’avons pas réussi à découvrir qui se cachait derrière ces attaques, même si d’intéressantes théories avaient été évoquées. En particulier, ceux qui ont participé à cette réunion pensaient qu’un autre vendeur d’antivirus pouvait être derrière cette attaque, ou que cette dernière était une tentative d’un acteur inconnu, mais puissant, qui voulait ajuster son malware afin d’éviter d’être détecté par les produits antivirus clés.
We had investigated these attacks but could not find out who was behind them. We had some suspects, Kaspersky was not one of them.
— Liam O'Murchu (@liam_omurchu) August 14, 2015
De telles accusations n’ont rien de nouveau. En remontant à la fin des années 90, vous pourriez voir que je prenais avec moi une pancarte avec le mot « NON » écrit dessus. Grâce à elle, j’économisais alors beaucoup de temps. Je la levais quand quelqu’un me demandait : « est-ce que vous concevez des virus vous-même afin de pouvoir « remédier » à vos infections ? » Et oui, en effet. Aujourd’hui, on me demande encore souvent la même chose. Est-ce qu’ils pensent vraiment qu’une entreprise de plus de 18 ans, qui est fondée à 100 % sur la confiance de ses clients, ferait une telle chose ?
I really like @josephmenn but I am having a hard time with this @e_kaspersky story. I simply can't see them doing that.
— Christopher M Davis (@DavisSec) August 14, 2015
Il semblerait que certaines personnes préfèrent croire que les autres sont coupables jusqu’à ce que leur innocence soit prouvée. Je suppose qu’il y aura toujours des gens comme ça. C’est la vie. Mais j’espère vraiment que ces personnes se rendront compte que ces accusations anonymes sont en réalité absurdes et infondées. Ce que je peux affirmer, c’est que nous continuerons de travailler de très près avec les entreprises de notre secteur afin de rendre le monde numérique plus sûr, et que nous maintiendrons notre engagement et notre dévouement pour contrer les menaces cybernétiques, quel que soit leur source.
Il y a de fausses accusations selon lesquelles @kasperky a empoisonné ses concurrents avec de faux positifs.Tweet
https://twitter.com/luludcheng/status/632241882437976064