Questions à un expert : brainstorming

Il est toujours appréciable qu’un véritable expert puisse répondre à vos questions. Nous sommes allés chercher pour vous la crème de la crème des membres  de la GReAt Team de Kaspersky Lab. La GReAt Team correspond au département recherche de la compagnie, son but est d’exposer, d’analyser et de combattre les menaces avant qu’elles n’arrivent jusqu’ à vous.

Saviez-vous que Kaspersky Lab reçoit plus de 200 000 exemplaires de malware chaque jour ? Nous leur avons envoyé vos questions liées aux malwares, à nos produits et à la sécurité afin qu’ils puissent y répondre.

Pouvez-vous, s’il vous plaît,  me parler de l’environnement de travail des analystes : quels systèmes d’exploitation, moteurs de recherche et autres outils utilisez-vous ?

Michael Molsner :

Nous ne sommes pas attachés à une configuration spécifique, nous construisons plutôt notre environnement de travail en fonction de nos besoins. Ma machine la plus vieille fonctionne encore sous Windows 2000, les autres sous WinXP, Win7, CentOS, Ubuntu et FreeBSD.

Comment trouvez-vous les malwares ?

Roel Schouwenberg :

Avec plus de 200 000 exemplaires uniques de malwares par jour tout est une question d’automatisation. Nous avons différents types de mouchards qui parcourent Internet à la recherche de malwares. Ces systèmes visitent les sites Web pour voir s’ils sont infectés et capturer les exploits et les malwares. Nous avons aussi plusieurs types d’appât conçus pour le trafic des e-mails et plus généralement  celui du réseau. Lorsqu’un malware découvert est en cours de traitement, nous trouvons très souvent des URL menant à d’autres malwares, qui sont ensuite automatiquement traités. L’industrie antivirus partage aussi les malwares qu’elle trouve, nous recevons donc des exemplaires de la part des autres vendeurs.  Enfin, la dernière façon de les trouver, et pas la moindre, ce sont ceux soumis manuellement par les  » enthousiastes anti-malware « , que ce soit des professionnels ou des particuliers.

Les créateurs de malware se concentrent-ils plus sur les plateformes PC ou mobiles ?

Sergey Novikov :

Les créateurs de malware ciblent n’importe qui en possession d’argent ou d’informations de valeur. Ils privilégient les cibles les plus faciles à pirater. En ce qui concerne les appareils mobiles, leurs propriétaires sont assez imprudents. Ils ne se soucient pas de protéger les données qui se trouvent sur leurs smartphones et leurs tablettes. Sachez que ce manque de prudence  sera à coup sûr exploité par les pirates. Pour ce qui est des plateformes, 99 % des attaques ciblent Android. Pour gagner de l’argent, les créateurs de malware essaient de voler  des informations financières, ou des mots de passe provenant de messageries électroniques  ou  de réseaux sociaux. Toutes ces données peuvent être revendues à d’autres criminels. Les pirates utilisent aussi des appareils infectés pour envoyer des courriers indésirables, réaliser des attaques DDoS et d’autres activités criminelles. Tous ces scénarios sont désormais multiplateformes : nous avons déjà vu des botnets sur Android et Mac OS.

Quelle est la vulnérabilité la plus courante sur les smartphones ?

Christian Funk :

Les cybercriminels ont pour habitude d’utiliser des applications légitimes pour dissimuler leurs malwares. Ils ajoutent un code malveillant aux applications légitimes et les remettent sur le marché – profitant ainsi du nom officiel de l’application.

Quel pays est le mieux préparé face à une « guerre cybernétique » ? Pensez-vous que les partis politiques et les institutions européennes sont conscients de ces dangers et y dédient suffisamment de ressources ?

Vicente Diaz :

Aucun pays ne publie d’informations sur des sujets aussi sensibles. Cependant, il est clair que le pays qui s’y prépare le plus est les États-Unis. La Chine y consacre également beaucoup de ressources, viennent ensuite les pays leaders en technologie tels que la France, le Royaume-Uni, l’Allemagne, la Russie et Israël.

Quel genre de malware existe pour Mac OS X et où peut-on le télécharger ?

Sergey Novikov :

Les ordinateurs Mac ne sont pas différents des ordinateurs Windows – on y trouve des enregistreurs de frappes, des botnets et autres menaces dangereuses. Le nombre d’exemplaires de malware pour Mac reste relativement bas, mais il est en train d’augmenter.  Il serait faux de penser que les utilisateurs de Mac doivent télécharger quelque chose par eux-mêmes pour être infectés – il n’y qu’à voir l’ampleur des dégâts des botnets Flasback/Flashfake (près d’1 millions d’ordinateurs Mac) qui se sont propagés automatiquement à partir d’une seule vulnérabilité de Java, l’année dernière. Bien entendu, je ne dirai pas où télécharger les malwares, cela serait illégal.

En termes de chiffres, la principale menace pour les ordinateurs Mac est l’hameçonnage à travers des e-mails et des sites Web frauduleux. La majorité des utilisateurs de Mac a quelque chose en commun – elle utilise l’Apple ID pour télécharger des logiciels et des médias. C’est pourquoi, les campagnes d’hameçonnage de « récupération de votre Apple ID » se révèlent être vraiment efficaces. Certains utilisateur communiquent même leurs données de carte bancaire pour « prouver qu’ils sont bien les propriétaires de l’Apple ID » ou pour « mettre à jour leurs informations de facturation ».

Je voudrais savoir ce que devrait faire les utilisateurs pour optimiser leur protection contre les chevaux de Troie dissimulés dans les fichiers PDF et les autres pièces jointes ?

Stefano Ortolani :

Votre question est très intéressante : plusieurs attaques ont en effet utilisé des documents Office et des PDF comme méthode de propagation. Malheureusement, les fichiers PDF et Office, afin de proposer des caractéristiques de plus en plus avancées, requièrent des lecteurs plus complexes, qui ont davantage tendance à contenir des bugs et qui peuvent être exploités par des codes dangereux. Mis à part le fait d’avoir un bon anti-virus installé sur votre appareil, je vous suggère d’utiliser des lecteurs de PDF simples et peu sophistiqués (comme Sumatra PDF, par exemple, qui est disponible gratuitement) : ils  sont non seulement plus légers mais ils sont également moins exposés aux vulnérabilités. Bien sûr, une telle solution n’est pas suffisante pour réparer le problème complètement.

Soyez toujours méfiant, n’ouvrez jamais de fichiers ou de documents dont vous ne connaissez pas la source.

Roel Schouwenberg :

La méthode la plus efficace est tout simplement de n’installer aucun lecteur PDF. Utiliser la dernière version d’Adore Reader et de Microsoft Office est primordial. Ils disposent d’une sandbox extrêmement difficile à infiltrer. Utilisez la dernière version de Windows qui dispose d’un meilleur système de gestion des exploitations peut aussi aider. Certaines personnes recommandent l’utilisation de programmes moins populaires afin d’éviter les exploits des lecteurs les plus populaires. Cette approche peut fonctionner pour les « malwares de masse ». Cependant, ce ne sera pas efficace contre les attaques ciblées.

Je ne suis jamais tombé sur un site d’hameçonnage, mais c’est peut-être parce que je ne m’en suis jamais aperçu. Je voudrais donc savoir :

– Sans logiciel antivirus installé, comment puis-je me rendre compte qu’un site Web est un site d’hameçonnage, est-ce avant ou après avoir utilisé le site ? Et qu’en est-il si l’on dispose d’un logiciel antivirus? M’informera-t-il par message ?

Michael Molsner :

De nos jours, naviguer sur Internet sans avoir installé un logiciel de sécurité est très risqué. Je ne le dis pas pour vous vendre quelque chose, je le dis car nous découvrons tout un tas de sites Web légitimes compromis tous les jours. Les codes malveillants sont souvent injectés dans du contenu légitime, et attaquent ensuite les ordinateurs vulnérables. Sans une protection adaptée, les visiteurs des sites infectés seront probablement eux-mêmes infectés – sans même avoir cliqué sur quelque chose.

Avec un logiciel de sécurité installé, vous ne verrez surement pas d’e-mail d’hameçonnage car les produits proposés aux consommateurs d’aujourd’hui ne contiennent pas seulement un antivirus, mais aussi des défenses contre les autres dangers et les contenus indésirables. 99,5 % des e-mails d’hameçonnage iront directement dans la corbeille.

Si vous cliquez sur un quelconque lien d’hameçonnage, notre produit ouvrira une fenêtre d’alerte vous informant du danger encouru si vous allez plus loin.

Où trouvez-vous le plus de liens d’hameçonnage ? Pouvons-nous faire confiance aux liens situés sur des sites Web/blogs célèbres ? Les liens publicitaires sur un blog sont-ils dangereux ?

Michael Molsner :

La majorité des liens d’hameçonnage sont des e-mails mais il existe d’autres techniques comme les messages directs sur les commentaires de forums.

J’hésiterais à parler de « confiance » quand il s’agit du monde en ligne. Même les sites Web d’entreprises ou de blogs célèbres peuvent être envahis et diffuser eux-mêmes du contenu malveillant. Cela est déjà arrivé et cela se reproduira encore.

Je suis inquiet quant à l’idée que la plupart des virus soient créés par des entreprises d’antivirus. Par exemple, sur Android, le premier virus est apparu quand le premier antivirus est apparu sur le marché

Vicente Diaz :

Je voudrais émettre un scénario hypothétique. Nous analysons près de 200 000 exemplaires par jour. Si Kaspersky Lab crée un nouveau virus, cela n’encouragerait pas les utilisateurs à acheter nos produits. En revanche, si le public apprenait (et que tout le monde découvrait) que Kaspersky Lab pratiquait ce genre de méthode, la compagnie n’aurait plus qu’à mettre la clé sous la porte.

Comme vous pouvez le constater, cela n’a pas de sens. Nous vivons dans un monde dans lequel il y a déjà assez de menaces et de personnes qui gagnent beaucoup d’argent sur le dos des autres comme ça.

Pourquoi ai-je besoin d’une protection pour mon smartphone ? Cela fait deux ans que je n’ai jamais trouvé aucun virus. Je pense que j’ai seulement besoin du module de vérification des URL pour mon mobile.

Sergey Novikov :

Si vous n’avez trouvé aucun virus, cela ne signifie pas qu’ils n’existent pas. Vous êtes peut-être juste chanceux ou prudent. Il est également possible que vous n’ayez pas l’infection du malware car les criminels s’appliquent pour créer des malwares furtifs. Certaines portes dérobées sont conçues pour rester sur l’appareil de la victime sans agir pendant un certain temps – jusqu’à ce que les criminels en aient besoin.

Il existe un autre aspect important – les appareils non protégés sont susceptibles de contaminer les autres ordinateurs partageant le même réseau. Votre smartphone pourrait participer à une attaque ou diffuser un malware sans que vous ne le sachiez. C’est pourquoi je pense personnellement que ceux qui refusent d’utiliser un logiciel de protection sont irresponsables. Ils participent peut-être, sans le savoir, à la cybercriminalité et ils négligent cela.

Pourquoi Kaspersky Lab est-il mieux que Norton ou McAfee ?

David Emm :

Il s’agit toujours d’une question difficile à répondre pour quelqu’un qui travaille pour un développeur de logiciels de sécurité, car il est impossible d’être objectif. Kaspersky Lab est clairement un leader dans le domaine du développement antivirus. Vous pouvez le constater à partir de la quantité des données de recherche que nous publions sur www.viruslist.com/fr. Vous pouvez également le constater au niveau de nos technologies – elles sont crées par la compagnie, de A à Z, plutôt que d’être rachetées. Elles sont conçues pour protéger nos clients; ces technologies sont très bien présentées dans plusieurs posts écrits par notre PDG, Eugène Kaspersky. Mais c’est également évident de par la constance de nos résultats, depuis un certain temps déjà et ce, dans différents tests indépendants – notamment par www.av-test.org, www.av-comparatives.org, www.anti-malware-test.com.

Pour ce qui est du problème des adwares, allez-vous réagir ou changer de politique ? Je pense qu’ils devraient être supprimés ou du moins, une détection « adware » ou de « programmes potentiellement indésirables » devrait être créée. L’actuelle politique considère nombre d’entre eux comme légaux, ce qui est un réel problème pour les ordinateurs des utilisateurs car les « adwares » peuvent parfois être dangereux.

Vicente Diaz :

Les logiciels tels que les adwares ne sont pas toujours malveillants en eux-mêmes. Il est d’ailleurs parfois difficile de déterminer ceux qui sont réellement malveillants. Néanmoins, il est clair que ces actions sont évasives et elles peuvent parfois induire les utilisateurs en erreur.  Vous devez bloquer ceux qui sont réellement malveillants et pas seulement ceux qui vous dérangent. Si la loi, par exemple, permet ce genre de comportement, alors vous avez besoin que l’industrie de la sécurité s’unisse et que les utilisateurs acceptent de bloquer ce genre de logiciels. Nous cherchons à améliorer nos produits afin que nous utilisateurs soient aussi protégés que possible. Parmi les menaces, on peut trouver les adwares, et si nous détectons que l’un d’eux essaie de réaliser des actions malveillantes, nous le bloquerons.

Quelles seraient les suggestions de Kaspersky Lab pour assurer la sécurité de nos transactions/systèmes de stockage en ligne ?

Christian Funk :

Les transactions en ligne – en plus de traiter des informations sensibles en général – devraient seulement être réalisées depuis des ordinateurs de confiance, jamais depuis des cyber-cafés ou des ordinateurs publics. Vous ne pouvez jamais savoir quel logiciel fonctionne en arrière plan, si le logiciel de sécurité est installé et mis à jour ou si l’appareil est déjà infecté par un malware. De plus, si une transaction doit être effectuée, vous devez accédez au système bancaire via des marque-pages ou l’adresse doit être tapée dans la barre d’adresse du navigateur manuellement, et non pas via des liens depuis Internet ou des e-mails venant soi-disant de votre banque. Cela vous aidera à éviter d’être piéger par des e-mails d’hameçonnage.

De plus, l’utilisateur doit s’assurer que toutes les mises à jour de sécurité du système d’exploitation ainsi que celles d’applications tierces sont installées sur le système avant d’accéder à un site bancaire en ligne. L’un des vecteurs d’attaque les plus important pour infecter des machines est via l’exploitation des vulnérabilités de certains logiciels. Ces vulnérabilités sont la porte ouverte aux malwares.

Étant donné que les banques offrent diverses méthodes pour accéder à vos comptes en ligne en toute sécurité, vous devriez demander à votre banque quels sont les éléments essentiels sur lesquels vous devriez être à jour.

Ces suggestions, en plus d’un logiciel antivirus à jour installé sur votre machine, offrent un niveau de sécurité très élevé – et elles aident à garder votre argent là où il devrait être, c’est à dire sur votre compte en banque.

Pourquoi avez-vous laissé tomber la sandbox ?

David Emm :

Nous n’avons pas laissé tomber la sandbox, mais nous avons changé le nom de notre technologie sandbox il y a un certain temps, il s’agit désormais du module de Protection bancaire. Nous avons effectué ce changement afin de mieux refléter la raison principale pour laquelle nous utilisateurs utilisent cette technologie : pour sécuriser leurs transactions en ligne. De plus, elle est désormais plus facile à utiliser. Au lieu d’avoir à l’activer manuellement à chaque fois, nous détectons automatiquement les transactions financières et nous mettons automatiquement en place le module quand vous en avez besoin (vous pouvez bien sûr ajouter des sites additionnels si vous en avez besoin). Au fait, nous utilisons aussi la sandbox avec notre système d’analyse pour déterminer si un code est malveillant ou non.

Allez-vous ajouter des plug-ins, des applications et des extensions aux produits comme KIS afin d’aider les produits conçus pour les utilisateurs à assurer la protection de nous navigateurs et le chiffrement de notre communications en ligne ?

David Emm :

Nous avons, en effet, de nombreuses extensions pour Internet Explorer, Chrome et Firefox :

• L’anti-bannière scanne les adresses depuis lesquelles les bannières peuvent être téléchargées.
• Le module de blocage de contenu vous protège des URL dangereuses.
• L’URL Advisor vérifie la sécurité des URL et fournit un « feu » de couleur vous indiquant leur statut.
• Le module de protection bancaire sécurise vos transactions en ligne.
• Le clavier virtuel empêche que vos mots de passe ne soient lus par les enregistreurs de frappe.

Un malware peut être identifié par un antivirus ou grâce à sa signature, pourquoi un créateur a-t-il donc besoin d’utiliser la « signature » ? Tous les logiciels ont des signatures et comment l’antivirus peut-il classifier la signature comme une menace ? Qu’est-ce qui est vraiment manipuler par le malware ?

Roel Schouwenberg :

Une signature est une élément qui permettra de décrire un malware, une famille de malwares ou une action malveillante de manière unique. Les signatures existent sous différentes formes. La détection peut-être effectuée à partir du code qui utilise un algorithme particulier. La signature peut aussi être créée pour détecter un certain comportement sur le système. De nos jours, la plupart des signatures sont intelligentes. Nous pouvons détecter des dizaines de milliers de fichiers malveillants différents qui utilisent la même signature intelligente.

Nous choisissons, qu’il s’agisse de notre système automatisé ou d’un analyste, comment détecter le fichier en question. Si un malware tente de nous compliquer la tâche, créer une signature basée sur ce code ou sur ce comportement peut être une très bonne manière de détecter les fichiers malveillants en question. Cela signifie que le créateur du malware devra changer de tactique afin d’éviter d’être détecté. C’est l’éternel jeu du chat et de la souri.

Nous utilisons une liste de refus et une liste d’autorisation. Grâce à l’énorme base de données  de notre liste d’autorisation qui s’étend sans cesse, nous pouvons accélérer l’analyse, éviter les faux-positifs et faire plus attention aux fichiers que nous ne connaissons pas.

Comment puis-je mieux me protéger des attaques DDoS ?

Roel Schouwenberg :

Les problèmes des DDoS est compliqué. Il n’y a pas de solution simple. La magnitude des attaques DDoS différent énormément. Si un pirate essaie de submerger votre service avec un trafic élevé, alors bien souvent, vous devrez faire avec ou alors changer de fournisseur de service qui de l’expérience avec les attaques DDoS. Dans ce type de cas, les IDS/IPS devraient vous aider à réaliser une grosse part du travail.

Est-ce une vulnérabilité d’avoir des ports ouverts ?

Roel Schouwenberg :

Les programmes sont responsables de l’ouverture des ports. Ce qui signifie que la question centrale est de savoir si vous pouvez faire confiance au programme qui a ouvert le port. Si le port est ouvert par un malware, alors oui, c’est une vulnérabilité. De tels ports ouverts seront généralement utilisés comme des portes dérobées dans le système. Quand un programme légitime ouvre un port, il faut alors savoir de quel type de programme  il s’agit et s’il a vraiment besoin d’un port ouvert à Internet. La plupart du temps, la réponse à cette question est  non, c’est pourquoi il est important d’utiliser un firewall – ces derniers sont inclus dans la plupart des logiciels de sécurité aujourd’hui.

Votre antivirus pour Android protège -t- il des malwares Obad ?

Sergey Nokinov :

Bien sûr ! Kaspersky Internet Security for Android vous protège d’Obad, c’est un malware assez courant.

Avez-vous le projet de développer un navigateur sécurisé au sein de Kaspersky Internet Security ?

Sergey Novikov :

Non, nous n’avons pas de tels projets. Nous excellons en sécurité et nous ne voulons pas vraiment construire une autre sorte de logiciel. Au lieu de cela, nous préférons renforcer les navigateurs populaires avec une couche de sécurité puissante, c’est d’ailleurs ce que nous avons mis en place dans notre module de Protection bancaire.

Etes-vous en train de développer un antivirus Internet, qui résidera dans le serveur de mon site Web et protégera mon site des attaques ?

Sergey Nokinov :

Je ne suis pas au courant d’un tel projet au sein de Kaspersky Lab. Cependant, je suis d’accord, il s’agit d’un problème majeur car la plupart des développeurs, surtout les projets à petit budget, ne font pas attention à la sécurité. Je peux vous recommande quelques étapes simples pour améliorer la sécurité de votre site Internet. Utilisez des mots de passe longs et complexes pour accéder à votre FTP, à votre console administrateur ou autres paramètres du serveur. Mettez à jour le logiciel du serveur (y compris les scripts et les SGC) régulièrement. C’est très simple, mais certains sites peu importants sont laissés à l’abandon et ne sont pas mis à jour pendant des années. Bien sûr, c’est l’endroit idéal pour les cybercriminels qui souhaite pirater un site, et l’utiliser pour répandre un malware. Nous résolvons le problème du côté du client en évitant que nos utilisateurs se rendent sur ce genre de site.

Quelle est la meilleure façon de faire face aux ransomwares ?

Christian Funk :

Si votre machine est infectée, faites l’acquisition d’une solution anti-virus mise à jour et efficace et mettez à jour votre système d’exploitation ainsi que votre navigateur et vos applications. Si le ransomware bloque votre compte utilisateur que vous ne pouvez pas accéder à votre système, vous pouvez télécharger notre Rescue Disk, qui vous permettra d’analyser et de nettoyer votre disque dur grâce à un petit système Linux qui se lancera à partir du CD. Il possède également un outil qui vous permettra de restaurer le système.

Sergey Nivikov :

Nous disposons d’une technologie anti-blocage toute neuve dans la prochaine version de Kaspersky Internet Security. Vous avez juste à presser une combinaison de raccourcis de clavier afin de vous débarrasser de l’application ransomware.

Windows 8 est-il sûr ? Pensez-vous que la sécurité de Windows 8.1 sera améliorée ?

Sergey Novikov :

Windows 8 est très bien conçu en matière de sécurité. Nous l’avons entièrement testé et il est bien meilleur que Windows 7. Malheureusement, il est presque impossible de concevoir un produit si compliqué sans aucune faille, les pirates ont donc déjà trouvé des manières de compromettre Windows 8. C’est pourquoi il requiert d’un logiciel de protection. Je ne peux pas vraiment commenter sur la version 8.1 car elle est encore en version beta.

J’ai pris peur quand j’ai vu à la télévision que des pirates russes avaient réussi à pirater un ordinateur en 30 minutes. J’ai installé les produits de Kaspersky Lab sur mon ordinateur, suis-je donc en sécurité ? Si je dois tout de même faire attention, sur quoi devrais-je me concentrer ?

Michael Molsner :

Vous ne devriez jamais penser que vous êtes en sécurité, la sécurité à 100% n’existe pas. Bien évidemment, avec un produit Kaspersky Lab installé, votre activité en ligne est bien plus sécurisée que s’il n’était pas protégée.