Kaspersky fait actuellement face à des accusations sur le possible envoi de faux fichiers vérolés afin que les autres antivirus génèrent des faux positifs. La société russe nie toute implication dans cette opération, mais la situation illustre bien les problèmes auxquels peut être confrontée l’industrie de la sécurité.
Pour comprendre ce problème, il faut savoir que chaque éditeur de solution antivirale ne travaille pas uniquement dans son coin. Chacun développe ses propres solutions et technologies, mais dans un monde de la sécurité en perpétuelle évolution, un partage minimal des connaissances est nécessaire. Ces sociétés disposent depuis longtemps d’un réseau d’échanges utilisé notamment pour mettre en commun les bases de signatures.
Échanger n’est pas voler
Un tel système a des avantages évidents. Quand une nouvelle menace est détectée, les autres éditeurs en sont alors avertis, si tant est qu’ils n’aient pas découvert eux-mêmes le malware, ce qui arrive régulièrement. Une attitude « noble » qui participe à la bonne protection de l’utilisateur final. Mais il comporte également des désavantages.
Comme le rappelle ainsi Reuters, Kaspersky s’était plaint de ces travers, notamment de la manière dont certaines entreprises profitaient du partage des signatures pour ne faire qu’un travail minimal de leur côté. Des structures récupéraient simplement le travail accompli par d’autres. En 2010, Kaspersky avait d’ailleurs créé 20 fichiers sans danger particulier, puis les avait envoyés à VirusTotal (qui appartient à Google depuis 2012) en les déclarant comme dangereux. En l’espace de dix jours, 14 entreprises avaient repris l’information et répercuté ce signalement sans vraiment vérifier. Selon Kaspersky, il s’agissait d’alerter l’industrie, et un grand nombre d’acteurs avait exprimé les mêmes inquiétudes.
Kaspersky aurait cherché à créer des faux positifs chez ses concurrents
Selon deux anciens employés de l’éditeur russe, cette opération avait illustré clairement les reproches faits à l’encontre du système, ou plutôt à une partie des acteurs présents dans le circuit. Cependant, si aucun changement particulier n’avait été noté par la suite, ils indiquent que Kaspersky a décidé un peu plus tard de passer à l’étape supérieure.
Par Kaspersky, il faut comprendre ici Eugène Kaspersky, cofondateur de l’entreprise et personnage bien connu du monde de la sécurité. Selon ces sources, il aurait été particulièrement en colère de voir que la situation n’avait pas évolué et que le « vol » continuait, car c’est bien ainsi qu’il considérait cette reprise sans vérification. Il aurait donc constitué un petit groupe en vue d’une opération plus agressive.
La technique aurait constitué à prendre des fichiers très courants fournis par Windows, ou trouvé dans des pilotes très répandus. Les ingénieurs incorporaient alors de très légères modifications puis les signalaient comme dangereux. Objectif : leurrer les antivirus concurrents pour que leur moteur de détection confonde le fichier trafiqué avec le fichier d’origine. Quand cette erreur se produisait, l’antivirus plaçait alors le bon fichier en quarantaine ou le supprimait, provoquant les problèmes qu’on imagine aisément.
Des sociétés ont bien été touchées par ce problème…
Microsoft, AVG et Avast avaient indiqué à Reuters que de telles opérations avaient bien été menées dans les dernières années, sans jamais savoir de qui elles provenaient. Chez Microsoft notamment, le responsable Dennis Batchelder avait indiqué en avril dernier qu’un cas similaire s’était produit en mars 2013. Un pilote d’imprimante avait ainsi été placé en quarantaine, et l’équipe avait passé six heures à chercher l’origine du problème. Une similitude avait été trouvée avec un code marqué comme malveillant précédemment, indiquant qu’il avait été placé à dessein dans le pilote. Une ressemblance insuffisante pour représenter une vraie menace, mais assez pour conduire à une vraie gêne de l’utilisateur. D’autant que dans les mois suivants, plusieurs centaines voire milliers de cas similaires avaient été trouvés.
Il est intéressant de constater que dans la période qui s’est alors ouverte, cette découverte a fait le tour de la communauté. De nombreux éditeurs se sont penchés sur la question, mais le ou les auteurs n’ont jamais été trouvés. Microsoft n’a d’ailleurs pas souhaité réagir la semaine dernière sur la possible implication de Kaspersky.
Selon les deux anciens employés, ce dernier aurait un long passif sur cette activité répréhensible. L’éditeur créerait ainsi des faux positifs depuis plus de dix ans, la période la plus intense ayant eu lieu selon eux entre 2009 et 2013. L’année 2013 semble être une année charnière et d’ailleurs confirmée par AVG, qui a indiqué que plus aucune vague de faux positifs n’avait été enregistrée depuis. Même Kaspersky a indiqué avoir renforcé sa détection pour se débarrasser de ces signalements parasites.
… mais rien ne prouve en fait que Kaspersky ait réellement été impliqué
La société russe nie évidemment toute implication dans une telle opération. Dans un communiqué envoyé à Reuters, elle a ainsi déclaré : « Notre entreprise n’a jamais conduit la moindre opération secrète pour piéger les concurrents en générant des faux positifs qui auraient nui à leurs parts de marché. De telles pratiques sont contraires à l’éthique, malhonnêtes et leur légalité est au mieux douteuse ». L’éditeur estime d’ailleurs qu’il ne peut s’agir d’un éditeur d’antivirus car le résultat aurait trop de répercussions sur tout le secteur.
Mais il est évident que Kaspersky, même en cas d’implication, ne peut rien faire d’autre que nier une telle opération. L’histoire prend appui sur des éléments concrets et confirmés par d’autres entreprises, mais il est difficile de prendre la parole de deux anciens employés pour argument comptant. Eugène Kaspersky, de son côté, n’a pas caché son mépris total de la situation sur Twitter, qualifiant de « conneries » les propos relayés par Reuters.
Eugène Kaspersky particulièrement remonté
Il a par la suite détaillé son point de vue dans un billet sur son propre blog. Il est évident selon lui que l’histoire ne repose sur rien, sinon la hargne éventuelle de deux employés partis pour des raisons inconnues. Il rappelle que l’année 2012 en particulier a été difficile car plusieurs faux positifs ont été remontés par le moteur de détection de Kaspersky, notamment sur Steam, le centre de jeux Mail.ru et le client de communication QQ. L’opération a été répétée à plusieurs reprises, toujours en envoyant de légères variations aux fichiers via VirusTotal et d’autres canaux de partage. Il s’agissait bien d’attaques, mais l’éditeur n’a jamais su d’où elles provenaient.
En 2013, une réunion au sommet entre plusieurs éditeurs de solutions de sécurité avait eu pour objectif d’échanger les informations au sujet de ces attaques. Aucune piste sérieuse n’avait été trouvée, mais certaines théories intéressantes étaient apparues. Un créateur de malwares aurait ainsi pu monter une opération élaborée destinée à tester les réactions des éditeurs en fonction de certains critères, avec l’objectif de renforcer ses propres créations.
Le cœur de l’histoire n’est d’ailleurs pas la paternité du scénario « machiavélique », car une telle information ne transpirera sans doute jamais, à moins que les ex-employés (s’ils en sont bien) ne prouvent leurs dires de manière beaucoup plus concrète. L’intérêt se trouve finalement dans le fonctionnement même du monde de la sécurité et des échanges entre des sociétés qui restent avant tout des concurrents.
Commentaires (100)
#1
Zéro preuve, hormis les dires d’anciens employés…. ça sent assez fort le FUD de rageux.
#2
Quand je pense que viens de passer a linux mint il y a deux mois, je me dis que c’est toujours 50€ d’économie par an. Bye bye kaspersky
#3
Et sinon leur truc de partage ils peuvent pas exiger une authentification histoire de savoir qui fait de la merde?
En lisant l’article on un peu l’impression que le pelos moyen peut venir et mettre toutes les versions de windows comme étant un virus, et que personne ne pourrait le savoir…
#4
En 2010, Kaspersky avait d’ailleurs créé 20 fichiers sans danger particulier,
puis les avait envoyés à VirusTotal (qui appartient à Google depuis
entreprises avaient repris l’information et répercuté ce signalement
sans vraiment vérifier.
Tiens, pourquoi ça ne me surprend pas???
Une histoire de business model, sans doute.
J’ai beau vouloir chercher des excuses à cette entreprise mais plus les infos tombent, plus elle en arrive à s’enfoncer un peu plus.
Et ça s’accumule ces derniers temps.
#5
Semi HS, mais personne n’a de soucis avec Kaspersky sous Windows 10 ? Malgré le fait d’avoir la dernière version (compatible W10) j’avais de gros soucis genre une utilisation CPU très élevée lors des scans ou encore des blocages assez inexpliqués : sur aucun jeu Source je ne peux rechercher de serveurs (TF2, CSGO…) et une fois KS désinstallé ça remarche. J’ai bien essayé de whitelister ce que je pouvais mais rien à faire… sur 7 pas de soucis pourtant…
#6
Bonjour messieurs. Avez-vous un moment pour parler de Linux ?
#7
#8
#9
De source sure, il me racontais qu’a une époque (qui sait si aujourd’hui c’est encore le cas, voire en mieux: embauche de hackers et propagation de virus sur la toile…), ces éditeurs créent eux meme des “virus” pour faire peur aux pigeons et faire acheter leurs solutions…
Les virus c’est leurs gagne pain et si y en aurais pas bah, au chômage :)
#10
#11
#12
A une époque Symantec à fait un truc dans le genre si mes souvenirs sont bons.
#13
#14
Ahah ! Trollolol !
Parfois on a pas trop de choix d’avoir windows.. Moi avec mes jeux vidéo, bah dans le cul cul ! Sinon je serais depuis longtemps sur Linux. Franchement les jeux vidéo c’est le seul truc qui me retient sur windows.
#15
#16
#17
Mouais, ça n’a jamais été prouvé. Et crois-moi, les éditeurs ont du boulot pour de très nombreuses années encore sans avoir besoin de ce genre de magouilles : exit les hackers qui créaient des virus pour prouver leurs capacités ou pour le plaisir, de nos jours, les cyber-criminels s’y mettent. L’odeur de l’argent : ransomwares, espionnage industriel, extorsion, réseaux d’ordinateurs zombies, etc.
#18
C’est tout à fait ça !
" />
#19
Hé la PCI Team ! Vous ne voudriez pas créer une rubrique « Pas si vite » ?
" />
Avec tous les démentis des rumeurs qui circulent, et la remise d’aplomb des actus mal traitées ailleurs, ça fait un paquet de news
#20
Ça et les progiciels.
#21
En plus ce n’est pas compliqué, il suffit de s’abonner au flux RSS de la plupart des sites de news qui privilégient le buzz et les titres racoleurs
" />
#22
Eugene “Troll” Kaspersky.
" />
On se coirait sur du P2P: y’a les seeders et les leechers. Sauf que là c’est pas gratuit.
Je comprends l’humeur d’E. K. et si l’histoire s’avérait vraie, je ne lui en voudrais pas, j’aurais même fait pareil.
#23
#24
#25
Moi ça me fait bien rire tous les gens qui postent en indiquant “moi je suis passé sous Linux” …. et c’est quoi le rapport ? Linux = meilleur protection ? Ai-je le droit de rire jusqu’à me pisser dessus ? :-)
#26
A une époque oui, mais aujourd’hui, j’ai de gros doutes. Ils n’ont plus besoin de cela pour avoir du boulot
#27
#28
Ca bouge pas mal, perso j’ai installé steam et il commence à y avoir des bon jeux portés sur linux. Ca risque d’aller encore plus vite quand steam aura commercialisé sa console
#29
Moi, j’suis passé sous Linus, j’espère qu’il a pas de virus ou autres MST
" />
#30
#31
ça me rappel il y a plusieurs années un mec qui indiquait que BSD était inviolable. Effectivement avec un taux de pénétration du marché de 0,0000001%, c’est sûr que les hackers s’en foutaient royalement. Maintenant que Linux s’implante de plus en plus, on va voir si c’est solution réputée inviolable ou presque vont le rester :-)
#32
#33
Met toi à la place d’un gars qui veut créer un virus, 2 solutions: Windows et tu touche 90% du parc informatique dont une majorité de michu ou linux, tu touche 2% dont une majorité de gens qui savent ce qui font.
Voilà tu as la réponse à ta question, bien sûr rien n’est infaillible
#34
#35
#36
Merci captain obvious de ton éclairage … Avais-tu senti la pointe d’ironie dans mon post ? il semblerait que non :-)
#37
En 2010, Kaspersky avait d’ailleurs créé 20 fichiers sans danger particulier,
puis les avait envoyés à VirusTotal (qui appartient à Google depuis
entreprises avaient repris l’information et répercuté ce signalement
sans vraiment vérifier. Selon Kaspersky, il s’agissait d’alerter
l’industrie, et un grand nombre d’acteurs avait exprimé les mêmes inquiétudes.
………et pendant ce temps là, “les créateurs” DE VRAIS virus se frottent les mains
#38
#39
#40
#41
et si vous ne faites que du jeu sous Windows, vous pouvez aussi désactiver toutes les sécurité ainsi que les mouchards(qui sont plus facile à enlever sans l’UAC), ça fait un peu de boost et surtout une meilleure fluidité.
#42
#43
#44
#45
#46
heu …t’es sûr de ça –> Win., seulement, 20% ?
" />
#47
#48
http://arstechnica.com/security/2014/12/powerful-highly-stealthy-linux-trojan-may-have-infected-victims-for-years/
#49
C’est avant ou après HL3 ?
" />
#50
Oui, defender désactivé. Ce qui est étrange c’est que cela ne fonctionne quand même pas en désactivant KS temporairement, il faut le désinstaller. Il doit y avoir un truc qui coince au niveau de la cohabitation KS/defender
#51
Faut pas non plus être de totale mauvaise foi les risques sous GNU/Linux (et Unix en général) sont bien moindre que sous Windows, et ça ne dépend pas que de des pars de marché.
" />
Sous Windows il est possible de bien pourrir un système avec “seulement” les droits d’un compte administrateur, dans le monde Unix sans être root c’est déjà beaucoup plus dur et même si l’élévation de privilège est loin d’être impossible elle n’est pas non plus open bar :)
Je ne dis pas que c’est secure, juste que ça écrème pas mal.
#52
#53
#54
#55
#56
C’est pas pour rien qu’on est plus nombreux à faire confiance à Kaspersky qu’aux autres, quand je lis ça, ça me rassure dans mon choix.
#57
#58
#59
#60
#61
Tu veux dire 45% de part de marchés chez les professionnels pas chez le monsieur tout le monde ….
#62
Bof, le double boot pour deux utilisations loisir c’est pas terrible.
Pour un double boot Boulot / loisir je dis pas, mais pour le loisir uniquement, si avec un OS tu peux faire tout ce dont tu as besoin, le double boot a pas trop d’intérêt. Perso a cause des jeux j’ai vite finit par ne booter que sous windows, du coup quelques mois plus tard j’ai enlevé ma debian.
#63
(Mon dernier commentaire te répondait, j’ai raté un truc
" /> )
#64
#65
#66
#67
#68
a supprimer.
" />
#69
Mouai le terme ordinateur ne veux plus dire grand chose : un serveur c’est un ordinateur ? Un smartphone c’est un ordinateur ? Une tablette ? Une tablette AVEC un clavier ? L’ordinateur de bord dans les voitures c’est un ordinateur ?
Le terme est trop vague pour ne pas être précisé. Même en précisant Ordinateur Personnel, la nuance entre une tablette avec clavier et un ultra-portable avec écran tactile est pas vraiment net.
#70
Et pour les 10% tu reboots ? Moi ça me soulait, mais bon petit détail matériel, sans SSD avec un vieux disque dur, le reboot prennait 5 bonnes minutes !
" />
#71
Perso, ça tourne assez bien avec Wine (du moins ce à quoi je joue) et les jeux indés sous Linux il commence a y en avoir un paquet. (Bon, j’ai aussi une console ce qui me supprime tout envie de retourner sous Windows
" />)
#72
#73
#74
#75
#76
#77
#78
#79
#80
Je crois qu’il y a plus de chance pour l’hyperviseur que pour les ports potables
" />
#81
#82
#83
Finalement la sécurité, c’est quand même une histoire de confiance…
" />
#84
#85
#86
Kaspersky ne crée pas de faux positif,
Kaspersky crée des virus……nuance !
#87
Microsoft, AVG et Avast avaient indiqué à Reuters que de telles opérations avaient bien été menées dans les dernières années, sans jamais savoir de qui elles provenaient.
Tiens c’est marrant que ce soient 3 sociétés éditant des antivirus de merde (surtout Avast et MS) qui se plaignent de ça!
#88
il crée quand même aussi les antivirus pour ses virus. Faut bien que l’argent rentre quelque part.
#89
A supprimer.
#90
#91
#92
#93
Et si je leur achète une voiture, je peux demander les sources conformément à la GPL ?
#94
si ils veulent pas, tu les menaces de te ramener avec des barbus
" />
#95
#96
#97
le 1er “Anti-virus”, c’est l’utilisateur !!!
" />
(t’auras beau avoir “toute la panoplie : Sécurité” (AV payant, Pare-feu performant, etc …)
SI….tu fais n’importe-quoi…éh bien, t’en chope un –> Grr !!!
“virus” = késako ?
#98
#99
Tu trouveras la réponse dans ton manuel utilisateur.
Celui de ma Dacia indique précisément où se rendre.
#100
Sympa, je regarderai ça ce soir tiens