Un récent article de Reuters accusant une société de sécurité russe KasperskyLab de simuler des logiciels malveillants pour nuire à ses rivaux a provoqué des démentis de la part du directeur général éponyme de l’entreprise – Eugène Kaspersky – qui a qualifié l’histoire de « complète BS » et a noté que son entreprise avait été victime d’une telle activité. Mais selon des entretiens avec le PDG de Dr Web — Principal concurrent de Kaspersky en Russie, les deux sociétés ont expérimenté des moyens d’exposer les fournisseurs d’antivirus qui acceptaient aveuglément les renseignements sur les logiciels malveillants partagés par des entreprises rivales.
L’article de Reuters cité anonymes, d’anciens employés de Kaspersky qui ont déclaré que l’entreprise avait affecté du personnel à la rétro-ingénierie des logiciels de détection de virus des concurrents pour comprendre comment tromper ces produits en signalant les bons fichiers comme malveillants. De telles erreurs, connues dans l’industrie sous le nom de « faux positifs », peuvent être assez coûteuses, perturbatrices et embarrassantes pour les fournisseurs d’antivirus et leurs clients.
Reuters a cité une expérience qui Kaspersky a fait sa première publicité en 2010dans lequel un magazine informatique allemand a créé dix fichiers inoffensifs et a déclaré au service d’analyse antivirus Virustotal.com que Kaspersky les a détectés comme malveillants (Virustotal agrège les données sur les fichiers suspects et les partage avec les sociétés de sécurité). Selon l’histoire, la campagne ciblait les produits antivirus vendus ou donnés par MOY, Avast et Microsoft.
« En une semaine et demie, les 10 fichiers ont été déclarés dangereux par pas moins de 14 sociétés de sécurité qui avaient aveuglément suivi l’exemple de Kaspersky, selon une présentation médiatique donnée par l’analyste senior de Kaspersky Magnus Kalkuhl à Moscou en janvier 2010 », a écrit Reuters. Joe Menn. « Lorsque les plaintes de Kaspersky n’ont pas entraîné de changement significatif, ont déclaré les anciens employés, cela a intensifié le sabotage. »
Eugène Kaspersky posté un long démenti de l’histoire sur son blog personnel, qualifiant l’histoire de « confusion d’un certain nombre de faits avec une quantité généreuse de pure fiction ». Mais selon le PDG de Dr.Web Boris CharovKaspersky n’était pas le seul à rechercher quelles sociétés d’antivirus imitaient simplement la technologie de leurs concurrents au lieu de développer la leur.
Dans une interview avec BreachTrace, Sharov a déclaré que Dr.Web avait mené des analyses similaires et était parvenu à des conclusions similaires, bien qu’il ait déclaré que la société n’avait jamais mal étiqueté les échantillons soumis aux laboratoires de test.
« Nous avons fait le même genre de chose », a déclaré Sharov. « Nous sommes allés au [antivirus] laboratoires d’essais et a dit : « Nous vous envoyons des fichiers propres, mais un peu modifiés. Pourriez-vous s’il vous plaît vérifier ce que dit votre système à ce sujet ? »
Sharov a déclaré que le laboratoire de test est revenu très rapidement avec une réponse : sept produits antivirus ont détecté les fichiers sains comme malveillants.
« À ce stade, nous étions très confus, car notre explication était très claire : ‘Nous vous envoyons des fichiers propres. Des fichiers un peu modifiés, mais propres et inoffensifs », se souvient Sharov d’une expérience que la société a déclaré avoir menée il y a plus de trois ans. « Nous avons ensuite observé l’évolution de ces deux fichiers, et une semaine plus tard, la moitié des produits antivirus les signalaient comme mauvais. Mais nous ne les avons jamais signalés nous-mêmes comme mauvais.
Sharov a déclaré que les expériences menées à la fois par Dr.Web et Kaspersky – bien que menées différemment et indépendamment – étaient des tentatives pour exposer la réalité que de nombreux produits antivirus suivent simplement les leaders.
« Dans ce cas, l’industrie de la sécurité devient une connerie, car les gens croient en ces produits et les utilisent dans leur environnement d’entreprise sans comprendre que ces produits ne font que suivre les autres », a déclaré Sharov. « C’est inacceptable. »
Selon Sharov, un bon produit antivirus se compose en fait de deux produits : un qui est vendu aux clients dans une boîte et/ou en ligne, et le second composant que les clients ne verront jamais — l’infrastructure interne back-end des personnes, des machines et des bases de données qui analysent en permanence les fichiers suspects entrants et testent l’ensemble du produit pour l’assurance qualité. De tels systèmes, a-t-il dit, incluent des tests exhaustifs de « fichiers propres », qui analysent les échantillons entrants pour s’assurer qu’ils ne sont pas simplement connus, de bons fichiers. Les programmes qui n’ont jamais été vus auparavant font presque toujours l’objet d’un examen plus minutieux, mais ils sont également une source fréquente de faux positifs.
« Nous avons parfois des faux positifs car nous ne sommes pas en mesure de rassembler tous les fichiers sains du monde », a déclaré Sharov. «Nous savons que nous pouvons en obtenir une partie, mais nous sommes presque sûrs que nous n’obtenons jamais 100%. Quoi qu’il en soit, cette deuxième partie du [antivirus product] devrait être beaucoup plus puissant, pour s’assurer que ce que vous diffusez au public n’est pas nocif ou dangereux.
Sharov a déclaré que certaines sociétés d’antivirus (il a refusé de nommer lesquelles) n’ont traditionnellement pas investi dans toute cette technologie et cette main-d’œuvre, mais ont néanmoins gagné des parts de marché importantes.
« Pour moi, ce n’est pas clair [Kaspersky Lab] aurait délibérément attaqué une autre société antivirus, car vous ne pouvez pas attaquer une entreprise de cette manière si elle ne dispose pas de l’infrastructure nécessaire », a déclaré Sharov.
« Si vous effectuez votre propre analyse de chaque fichier, vous ne serez jamais dupe comme ça », a déclaré Sharov à propos des tests effectués par Dr.Web et Kaspersky. « Certains produits préfèrent simplement regarder ce que font les autres, et ils ont beaucoup de succès sur le marché, beaucoup plus de succès que nous. Nous n’en sommes pas fous, mais quand on pense à tout le mal que cela pourrait causer aux clients, c’est vraiment très mauvais.
Sharov a déclaré qu’il remettait en question le calendrier des sources anonymes qui ont contribué au rapport de Reuters, qui intervient dans un contexte de relations de plus en plus difficiles entre les États-Unis et la Russie. En effet, Reuters rapporté aujourd’hui les États-Unis envisagent maintenant des sanctions économiques contre des individus russes et chinois pour des cyberattaques contre des cibles commerciales américaines.
Il manque à l’article de Reuters qui a lancé ce hubub l’histoire de ce que Dr.Web et Kaspersky disent tous deux être l’impulsion de leurs expériences : un débat de longue date dans l’industrie antivirus sur la précision, la méthodologie et la pertinence réelle de la mise en scène. tests de comparaison antivirus exécutés par des sociétés tierces telles que AV-Test.org et Av-Comparatives.org.
De tels tests montrent souvent que de nombreux produits bloquent 99 % de toutes les menaces connues, mais les critiques de ce type de test disent qu’il ne mesure pas les attaques réelles et, en tout cas, ne reflète pas la réalité selon laquelle beaucoup trop de logiciels malveillants passent. défenses antivirus de nos jours. Pour un exemple de cette controverse, consultez mon article de 2010, Anti-Virus Is a Poor Substitute for Common Sense.
Comment tout cela affecte-t-il l’utilisateur final ? Ce que je retiens de cette histoire de 2010 n’a pas changé du tout : si vous comptez sur un produit antivirus pour vous éviter une décision malavisée, comme ouvrir une pièce jointe dans un e-mail auquel vous ne vous attendiez pas, installer des lecteurs vidéo aléatoires à partir de sites tiers ou télécharger des fichiers exécutables à partir de réseaux de partage de fichiers peer-to-peer – vous jouez à un jeu dangereux de roulette russe avec votre ordinateur.
L’antivirus reste une approche utile – quoique quelque peu désuète et inefficace – de la sécurité. La sécurité est une question de couches et ne dépend pas d’une technologie ou d’une approche en particulier pour détecter ou vous protéger des dernières menaces. La couche la plus importante de cette défense de sécurité ? Toi! La plupart des menaces réussissent parce qu’elles profitent des faiblesses humaines (paresse, apathie, ignorance, etc.), et moins à cause de leur sophistication. Alors, prenez quelques minutes pour parcourir les 3 règles de sécurité en ligne de breachtrace et mes outils pour un PC plus sûr.
Lecture complémentaire :
L’antivirus est mort : Vive l’antivirus !
Exclusif : le russe Kaspersky menacé de « gommer » son rival, selon des e-mails