Logiciels antivirus

Historiquement, Microsoft Windows était conçu pour être un produit commercial peu fiable au niveau de la sécurité1) et idéal pour le business de l'escroquerie logicielle2).

À partir de 2017, la croissance forte et constante des attaques informatiques3) avec des conséquences tragiques pour des milliers d'entreprises dans le monde, a contraint Microsoft a s'impliquer réellement dans la diminution de la vulnérabilité de ses produits. Notamment en ne tolérant plus la pollution systématique de Windows par les logiciels malveillants de type marketing plus ou moins agressif.

Mais malgré l'amélioration sensible de la sécurité des ordinateurs fonctionnant sous Windows 10 et 11, les innovations des groupes de pirates – privés ou d'états – dont les investissements sont dopés par la cyberguerre, continuent de menacer très fortement les utilisateurs particuliers et professionnels4). Car la virologie n'est pas le cœur de métier de Microsoft5) qui cumule des années de retard vis-à-vis de la poignée de sociétés informatiques qui ont acquis une solide expertise antivirale depuis le début des années 1990 (Bitdefender (en), ESET, Kaspesky, etc.).

C'est pourquoi il est fortement recommandé d'utiliser un logiciel antivirus performant sous Windows (et MacOS), comme le conseille cybermalveillance.gouv.fr dans le contexte actuel de 3e guerre mondiale6).

Dans cette page web, j'indique quelques antivirus performants, et donne quelques conseils et informations annexes.

Copie d'écran du site intel.malwaretech.com montrant les attaques en cours au niveau mondial, un samedi à 6h heure de Paris

Je ne suis pas affilié et ne reçois aucune rétribution d'une entreprise mentionnée dans cette page web.

Si vous ne savez pas ce qu'est un ransomware (ou "rançongiciel"), je vous invite à regardez cette excellente petite vidéo pédagogique :
21/11/2017: youtube.com > Cookie connecté > Le Ransomware expliqué en 5 minutes

et si vous avez plus de temps, cette vidéo plus concrète :
Enquête : Les braqueurs de l'ombre
Date : 14/12/2017 – Durée : 30'09" – Réalisation : Clément Le Goff et Guillaume Beaufils
15/12/2017: youtube.com > Envoyé spécial > Cyberattaques : les braqueurs de l'ombre

Sélection d'antivirus performants

J'ai consacré du temps en 2015, 2016 et 2017, à examiner les sites web des sociétés antivirus et les évaluations effectuées par des testeurs passionnés de nouvelles technologies, à la recherche de solutions efficaces contre tous les ransomwares. Deux sociétés d'antivirus ont retenu mon attention – Bitdefender et Kaspersky –, parce qu'elles étaient les seules à répondre aux critères suivants :

  • Information claire : Communication dès 2015 sur le danger des ransomwares et leur prise en compte par les ingénieurs
  • Recherche et développement : Mise à disposition du public d'un prototype gratuit de programme préventif dans le premier semestre 20167)
  • Annonce fin 2016 / début 2017 d'intégration dans leur antivirus d'une protection préventive (pro-active) contre les ransomwares inconnus

Antivirus Bitdefender
Les antivirus Bitdefender sont probablement les meilleurs antivirus du marché. Mais ils sont lourds et ont tendance à ralentir le système. Je le déconseille sur les très vieux ordinateurs, sur les vieux ordinateurs bas de gamme, et sur les ordinateurs récents qui paraissent déjà fonctionner avec lenteur. Depuis juillet 20218), les clients SFR peuvent plus facilement acheter une licence Bitdefender et l'installer, en souscrivant à une option SFR Cybersécurité, 1 poste pour 3€/mois, ou bien 5 postes pour 5€/mois (SFR a donc rompu son contrat avec la société d'antivirus F-Secure). Pour souscrire à une option SFR Cybersécurité, ça se passe ici :

Depuis mai 2022, les clients Orange peuvent également facilement acheter une licence Bitdefender Internet Security et l'installer, en souscrivant à l'option Suite de Sécurité Orange, 5 postes pour 5€/mois :

Atteindre la section Bitdefender dans cette page

Antivirus Kaspersky
Les antivirus Kaspersky sont plus légers, plus rapides à installer et plus facile à utiliser. Jusqu'à mai 2022, les clients Orange pouvaient facilement acheter une licence Kaspersky Internet Security (produit milieu de gamme devenu "Kaspersky Plus") et l'installer, en souscrivant à l'option Suite de Sécurité Orange, 5 postes pour 5€/mois. (L'antivirus précédent "Antivirus firewall Orange" étaient fournis jusqu'en 20139) par la société F-Secure).

Sur la page avfw.orange.fr (Manuel de la Suite de Sécurité Orange) > AO Kaspersky Lab, la société Orange explique pourquoi elle a choisi Kaspersky.

Cependant, par conformité aux directives du ministère français de l'économie, depuis mai 2020, les clients d'Orange qui souscrivent à la Suite de sécurité Orange se voient installer Bitdefender, tandis que ceux qui avaient précédemment souscrit à la même offre restent sur Kaspersky provisoirement (à moins de désinstaller puis réinstaller cette Suite de sécurité Orange).

Quant-à la page boutique.orange.fr > suite-securite-kaspersky-lab, elle ne mentionne plus Kaspersky, mais pas non plus Bitdefender. Au 22/06/2022, il n'y avait eu aucune annonce à ce sujet de la part d'Orange sur son site (blog) ou dans les médias. Seulement une annonce (redondante) sur le forum orange10).

Atteindre la section Kaspersky dans cette page

Les antivirus Kaspersky pris en otage par les boycotts anti-russes
Malheureusement, depuis que le petit monde des humains est entré dans le contexte de la 3e guerre mondiale en février 2022, et qu'un rideau de fer mental a été réactivé pour enfermer les opinions publiques dans des idées manichéennes presque symétriquement opposées, un boycott absurde pénalise toute production associée de près ou de loin à la Russie. Jusque dans les domaines culturels11), avec le phénomène habituel de chasse aux sorcières12), ainsi que les questions légitimes entretenues par un certain travail du doute (cf. en annexe de cette page, le chapitre Quelques articles sur Kaspersky en lien avec le boycott des produits russes consécutif à l'invasion militaire de l'Ukraine). Enfin, la société civile russe étant directement visée par la "guerre économique et financière totale" dont "le peuple russe en paiera aussi les conséquences"13), il s'ensuit une fuite des cerveaux hors de Russie14).

Bien que de nombreux salariés de Kaspersky travaillent en dehors de la Russie depuis plusieurs années, il est prévisible que la fuite des informaticiens (généralement anglophones), et la perte de clients, provoquent une diminution progressive de la qualité des antivirus Kaspersky.

Comme l'indique15) le centre de cyberdéfense civile français CERT-FR, il est important de ne pas désinstaller un antivirus sans le remplacer par un autre, de s'assurer régulièrement que l'antivirus Kaspersky continue de se mettre à jour, et de réfléchir à un produit de remplacement.

Important :
La désactivation du renouvellement automatique de l'abonnement Kaspersky s'effectue sur le site d'un des deux sous-traitants commerciaux de Kaspersky accessible depuis le site kaspersky.fr :

Par quoi remplacer un antivirus Kaspersky ? :

  • Sur un ordinateur rapide et pas trop vieux : je recommande un antivirus de la société roumaine Bitdefender
  • Sur un ordinateur vieux ou bas de gamme, ou qui paraît déjà lent, je recommande un antivirus de la société slovaque ESET

Antivirus ESET
Je n'ai pas eu le temps d'essayer l'antivirus milieu de gamme ESET (je l'avais utilisé avec satisfaction en 2010). Comme ceux de Bitdefender et Kaspersky, les chercheurs d'ESET excellent depuis des années dans la découverte de nouveaux logiciels malveillants et technologies furtives utilisées pour infecter tous types de machines (mobiles, stations, serveurs, machines industrielles). Depuis le début de l'année 2022, ESET se distingue dans la détection des logiciels utilisés dans la cyberguerre contre l'Ukraine. Établie à Bratislava, cette société équipe gratuitement les PC et serveurs du voisin ukrainien, et apporte une aide très précieuses à la division ukrainienne renforcée de Microsoft qui travaille en lien étroit avec les services de sécurité états-uniens afin d'atténuer la mondialisation de la cyberguerre16).

Les antivirus ESET protègent contre les ransomwares et le hameçonnage. D'après certaines critiques17), les antivirus ESET consomment très peu de ressource, sauf lors d'un scan manuel complet du disque dur. Ils sont en effet dépourvus d'analyse rapide (superficielle) : leur moteur d'analyse du disque dur examine en profondeur 100% des données présentes sur le disque dur, même si elles semblent saines avant analyse. C'est peut-être l'une des raisons qui expliquent que les chercheurs d'ESET découvrent autant de nouveaux programmes furtifs.

Atteindre la section ESET dans cette page

Quelle confiance accorder aux logiciels antivirus ?
Les seuls logiciels dignes de confiance sont les logiciels libres. Et ce n'est pas un hasard s'il existe en France un Socle interministériel de logiciels libres. L'une des quatre conditions pour qu'un logiciel soit libre18) – la "Liberté 1" – implique que sont code source – sa recette de cuisine – soit publiquement accessible avec autorisation de copie et modification (logiciel open source "à code source ouvert"). Comme le montre une récente actualité concernant le noyau Linux, le code source d'un logiciel libre ou même partiellement libre comme le noyau Linux (open source) est d'autant plus difficile à compromettre que la communauté de programmeurs qui le gère est étoffée19). Plus d'information sur les logiciels libres, open source et leurs différences :
wiki.ordi49.fr > Qu'est-ce qu'un hacker ?.

Le seul logiciel antivirus libre qui existe est extrêmement mauvais ! ClamAV n'analyse pas en temps réel. Il laisse passer les virus inconnus et fait perdre du temps en détectant de nombreux faux positifs ! Dans un monde où tout est breveté et secret, les développeurs de logiciels libres ont très peu d'accès aux informations fraîches et pertinentes.

Un autre antivirus conçu en tant que logiciel libre – et en principe beaucoup plus performant que ClamAV – est en sommeil depuis des années. Il s'agit de OpenDAFVI. Entre 2012 et 2015 pour l'état français, le hacker spécialiste en cryptologie et virologie informatique Éric Filiol et son école ESIEA de Laval ont développé le logiciel partiellement libre DAVFI, qui devait être le prototype d'un "antivirus souverain" français20). Le logiciel DAVFI et sa preuve de concept ont été validés par l'armée française et comme convenu, Éric Filiol a transféré tous ses droits sur le logiciel à la société Nov-It (acquise en mai 2015 par la société Teclib') qui l'a transformé pour en faire l'antivirus non libre Uhuru. Éric Filiol a continué de travailler en dérivant son projet initial partiellement libre DAVFI vers le projet de logiciel antivirus libre OpenDAFVI. Mais il n'a jamais reçu l'autorisation de le publier…

Ensuite vient les antivirus Kaspersky. En 2018, Kaspersky est la première – et toujours la seule – société informatique de logiciels privateurs (ou propriétaires) à autoriser l'examen du code source de ses logiciels (leurs "recettes de cuisine") par n'importe quel expert indépendant ou bien affilié à un gouvernement, au sein de ses nouveaux bureaux dédiés et appelés "centres de transparence", dont le premier se trouve à Zurich en Suisse. Les produits Kaspersky sont désormais distribués en deux variantes : une variante dont le code source est compilé en Russie sur des serveurs russes pour la société russe, et une variante dont le même code source est compilé dans ce data center de Zurich pour le reste du monde (source).

Fin 2020, Kaspersky a terminé le déplacement hors de Russie de ses derniers centres de données liés au fonctionnement de ses produits informatiques (source) : les antivirus Kaspersky des utilisateurs asiatiques et australiens ont ainsi rejoint ceux des utilisateurs européens qui depuis fin 2018 (source), sont connectés au centre de donnée Kaspersky de Zurich en Suisse. Le premier "rapport de transparence" a été publié en septembre 2021. En avril 2022, un haut responsable de la société Kaspesky a déclaré à lemondeinformatique.fr : "On autorise désormais un accès à distance à nos centres de transparence de Zurich et de Madrid, on travaille avec des entités juridiques locales et des banques locales qui ne sont pas impactées par la déconnexion au système SWIFT, nous avons nos équipes support en France à Rueil Malmaison et reposons sur une architecture serveurs distribuée" (source). En juin 2022, Kaspersky a annoncé l'ouverture de 3 nouveaux "centres de transparences" à Woburn (USA), Tokyo (Japon) et à Singapour qui viennent s'ajouter aux centres de Zurich (Suisse), Madrid (Espagne), Kuala Lumpur (Malaisie) et São Paulo (Brésil) (source).

Ensuite viennent les antivirus développés à partir du début des années 1990 par des entreprises de pays qui venaient de se libérer de la tutelle russe, avec des millions d'utilisateurs s'échangeant les copies piratées des logiciels commerciaux en libre circulation, mais infectées par de multiples virus. Bitdefender, extension mondiale de la société mère SoftWin a été créée par Mariuca et Florin Talpes en 1990 à Bucarest en Roumanie21). Après avoir découvert et éradiqué leur premier virus en 1987, les jeunes programmeurs Peter Paško et Miroslav Trnka créent avec leur ami commun Rudolf Hrubý, la société ESET en 1992 à Bratislava en Slovaquie.

Comme Kaspersky créé en 1997 par Eugène Kaspersky et Natalya Kasperskaya, les sociétés Bitdefender et ESET doivent investir beaucoup de ressources humaines et financières en recherche et développement, dans toutes les régions du globe où émergent des virus. Car elles font en effet partie des entreprises de sécurité informatique qui sont le plus souvent citées par la presse informatique, lorsque des chercheurs découvrent des nouvelles familles de logiciels malveillants, ou des nouvelles technologies d'infection et de dissimulation. La société finlandaise F-Secure qui était auparavant choisie par Orange et SFR pour protéger leurs clients est parfois remarquée pour découvrir de nouvelles menaces. Mais quasiment jamais les autres sociétés éditrices d'antivirus du continent européen, comme les allemandes G Data CyberDefense et Avira, l'espagnole Panda Security.

Pour être complet au niveau européen, la société d'antivirus biélorusse VirusBlokAda ne s'est faite remarquer qu'une seule fois, en 2010, pour avoir découvert le virus de nouvelle génération Stuxnet, créée par le consortium étatique israélo-états-unien. Et son site web à l'apparence des années 2000, disponible uniquement en biélorusse et en anglais ne donne pas vraiment confiance…

Quant-aux sociétés d'origine tchèque, AVG Technologies et la très controversée Avast Software, il y aurait long à en dire. Pavel Baudiš et son ami businessman Eduard (Eda) Kučera qui ont co-créé la coopérative Alwil (puis Alwil Software) en Tchécoslovaquie en 1989 pour distribuer l'AntiVirus Advanced SeT (AVAST)22) n'ont pas cessé de concentrer les investissements sur le marketing, la collecte et la revente de données personnelles des utilisateurs, plutôt que sur la recherche et la technique antivirale. En 2016 Avast Software rachète la société d'antivirus tchèque AVG Technologies qui avait été fondée par Jan Gritzbach et Tomáš Hofer en 1991 sous le nom de Grisoft /C/ Software. En 2017, Avast Software achète la société Piriform (CCleaner, Recuva, Defraggler, Speccy) qui, piratée sous sa responsabilité, a diffusé 2 virus chinois pendant 3 semaines chez les utilisateurs, avant qu'une entreprise de sécurité plus sérieuse ne les alerte sur ce qui était en train de se passer. En 2019, la maison-mère Avast Software s'est elle-même faite piratée pendant 5 mois consécutifs et a cru bon de se justifier en affirmant qu'elle surveillait silencieusement les agissements du pirate dans son système informatique23). En 2021, la société tchèque Avast Software fusionne avec la société états-unienne NortonLifeLock (ex-Symantec) qui édite l'antivirus Norton racheté en 1992 à son créateur Peter Tippett. Ainsi lié à la législation états-unienne, le logiciel Avast Antivirus est donc soumis aux services de renseignements des USA, qui ne se privent pas d'espionner de manière industrielle tout ce qui passe à leur portée dans le monde via un logiciel de droit états-unien, comme l'ont montré les journalistes exploitant les données exfiltrées par les lanceurs d'alertes Julian Assange et Edward Snowden

Pour les mêmes raisons que je viens d'évoquer, je n'ai aucune confiance concernant le respect de la vie privée par l'antivirus états-unien Norton de NortonLifeLock ex Symantec, ni dans le médiocre antivirus états-unien McAfee, ni dans le renommé et performant antivirus britannique Sophos.

Bitdefender

Panneau d'accueil de Bitdefender Internet Security (ne pas utiliser son gestionnaire de mot de passe, afin de pas être un client captif)

  • Bitdefender peut être évalué gratuitement pendant une trentaine de jours, puis être désinstallé
  • L'installation des antivirus Bitdefender est relativement longue (3 quarts d'heure).
  • Ralentit les ordinateur très ancien et/ou entré de gamme
  • Depuis fin 2019, tous les antivirus Bitdefender intègrent l'intéressante fonctionnalité de scan au démarrage de Windows sous le nom "Mode de secours Bitdefender" : bitdefender.fr > Mode de secours Bitdefender
  • Bitdefender propose une version gratuite et allégée (donc potentiellement inutile) pour smartphones et tablettes Android (Bitdfender Antivirus Free pour Android ; Google Play)
  • Bitdefender ne propose pas de version gratuite allégée de son antivirus pour PC

Logiciels Bitdefender pour les particuliers :

Pages de support et tutoriels :

Kaspersky (boycott : risque de baisse progressive de performance)

Panneau d'accueil de Kaspersky Plus en version d'essai anglophone

  • Comme tous les antivirus du marché, Kaspersky peut être évalué gratuitement pendant une trentaine de jours, puis être désinstallé.
    Mais ATTENTION ! Depuis que les produits Standard, Plus et Premium ont respectivement remplacé les produits Antivirus, Internet Security, et Total Security, il est obligatoire d'effectuer une commande en ligne d'une licence à paiement différé pour bénéficier de l'essai gratuit ! (sauf téléchargement d'une version d'essai spéciale en anglais ou en espagnol du Mexique, depuis une des pages du site usa.kaspersky.com indiquée ci-dessous).
  • Les antivirus Kaspersky sont relativement rapides à installer
  • Kaspersky Lab propose une version gratuite avec une protection très basique :
    kaspersky.fr > Kaspersky Free (à éviter)
  • Comme Bitdefender, Kaspersky propose une application gratuite et allégée pour Android :
    play.google.com > Kaspersky Security & VPN

Logiciels Kaspersky Lab pour les particuliers :

Support :

Aide en ligne Kaspersky :

ESET (alternative légère à Kaspersky)

Logiciels anti-ransomwares préventifs compatibles avec un antivirus installé

Si vous n'avez pas d'antivirus (déconseillé) ou bien si vous en avez un peu performant, sans fonctionnalité antiransomware, dans certains cas, vous pourrez peut-être le cumuler avec un autre logiciel non antivirus bloquant les ransomwares. Mais cette solution de repli reste un pis-aller moins efficace vis-à-vis de l'antivirus performant qui intègre la fonctionnalité antiransomware.

  • Malwarebytes Anti-Malware en version premium (payant) : Correctement configuré, ce logiciel bloque automatiquement les logiciels marketing et tout vandalisme tenté par un ransomware ayant réussi à entrer dans le système (cf. tests effectués par Mickaël Guillerm). Attention ! Comme certains logiciels malveillants parviennent à désactiver la licence de Malwarebytes Anti-Malware, il faut toujours vérifier via son icône que le logiciel est chargé en mémoire, et de surcroît que sa licence Premium est activée
  • L'agent logiciel gratuit et en anglais Kaspersky Anti-Ransomware Tool for Home est dérivé de Kaspersky Anti-Ransomware Tool for Business (support ; aide). En plus de bloquer les ransomwares, ce logiciel bloquera certains logiciel marketing et cryptomineurs sur la base d'une détection comportementale et d'une analyse de tout fichier suspect qui est automatiquement envoyé aux ordinateurs Kaspersky (Kaspersky Security Network). Mais par rapport à l'antivirus Kaspersky entrée de gamme, ce logiciel ne se met pas à jour, n'utilise ni les technologies d'apprentissage machine ("intelligence artificielle"), ni l'analyse experte, ni l'analyse automatique. Notez en outre les limitations suivantes du processus de désinfection : "Dans certains cas, l'application ne supprime pas les fichiers créés par des logiciels malveillants. L'application ne supprime ni ne restaure les fichiers utilisés par un autre processus." (source)

Antivirus gratuits (déconseillé)

Annexe

Typologie schématique des logiciels malveillants

Tableau des logiciels malveillants
Virus
(illégal)
Zone grise
(illégal)
Arnaques marketing
"Logiciels Potentiellement Indésirables",
etc.
(malheureusement légal)
Objectif principal :
Se reproduire sur d'autres machines en toute discrétion en restant disposé à une activité plus intense
Objectif principal :
Attirer l'attention de l'utilisateur pour l'orienter vers un acte d'achat et/ou l'espionner afin de revendre ses données personnelles
Finalités et méthodes :
- Création d'un réseau d'ordinateurs zombies (botnet) (infection non ciblée et opportuniste), afin de louer de la puissance de calcul mutualisé permettant des attaques ciblées ultra-puissantes contre n'importe quel groupe de machines reliées à Internet (entreprises, états, etc.),
- Exfiltration de données sensibles (bancaires, etc.), soit pour revente au marché noir (attaque non ciblée et opportuniste), soit de manière ciblée à des fins d'espionnage industriel,
- Surveillance ciblée pour préparer l'attaque d'une organisation (entreprise, parti politique) à laquelle appartient la victime (cf. MacronLeaks) ou pour la faire chanter (kompromat),
- Paralysie des systèmes informatiques de la victime et de ses relations professionnelles de manière ciblée pour des raisons militaro-politiques (Lutte Informatique Offensive), ou bien d'une manière non ciblée pour extorquer de l'argent (cryptovirus),
- etc.
- Virus sciemment déguisés en logiciels marketing (chevaux de Troie),
- Virus diffusés à leurs insu par des régies publicitaires (chevaux de Troie), généralement par les sous-programmes marketing (API) des applications smartphones gratuites25), mais parfois aussi dans les pages web ordinaires26),
- Programmes de crypto-jacking (cf. minage de cryptomonnaie)27),
- Ransomwares,
etc.
Au-moins 7 modes opératoires :
- Bloatwares (obésiciels) : logiciel commercial pré-installé par le constructeur ou le vendeur de l'ordinateur (qui affichent par exemple des offres de synchronisation ou de sauvegarde sur un serveur distant (Cloud computing)).
- Fenêtres surgissantes (pop-up) intempestives ou notifications intempestives à caractère commercial (cf. économie de l’attention).
- Spywares (espiogiciels) : logiciels commerciaux dont la gratuité est payée par l'exfiltration de tout ou partie des données de l'utilisateur (données comportementales (par exemple l'enregistrement des frappes au clavier (keylogger)) et/ou fichiers de données présents sur le disque dur).
- Hijacking : détournement des raccourcis de lancement des navigateurs ou du moteur de recherche préféré.
- Facticiels : faux logiciels de nettoyage ou d'optimisation.
- Bloqueurs de navigateurs (Browser lockers ou "browlocks") : programmes bloquant la navigation sur l'affichage angoissant du numéro de téléphone d'un support technique escroc qui se propose de prendre le contrôle à distance de l'ordinateur pour l'"optimiser" ou le "réparer".
- Rogues : facticiels qui altèrent progressivement et volontairement le fonctionnement du système et installent un climat angoissant, afin de mieux convaincre l'utilisateur d'acheter leurs versions "pro" ou premium de "nettoyage" ou d'"optimisation"
Déclenchements :
Ouverture de la pièce jointe d'un email.
Visite d'un site web malveillant.
Insertion d'un périphérique de stockage contaminé
Déclenchements :
Clic sur un lien malveillant d'une page web.
Installation par l'utilisateur d'un programme depuis un site de téléchargement (site non officiel)
Mesures prophylactiques :
Utiliser un bon antivirus payant comme Bitdefender ou Kaspersky ou bien migrer sous GNU/Linux.
Refuser tout logiciel piraté28)
Mesures prophylactiques :
Utiliser un bon logiciel antimalware marketing tels que MalwareBytes' Anti-Malware.
Utiliser plusieurs bloqueurs publicitaires non bridés (c'est-à-dire pas sous Google Chrome).
Si besoin d'utiliser un programme gratuit, préférer un logiciel libre.
Mesures prophylactiques communes :
Réfléchir avant de cliquer, ne pas être spontané (primesautier), émotif et/ou crédule.
Se méfier des pièces jointes.
Télécharger un programme uniquement depuis son site web officiel (et surtout pas depuis un site de téléchargements), etc.

Ransomwares, cryptovirus, etc.

Ransomwares (="rançongiciels") : Programmes informatiques qui chiffrent toutes les données de l'utilisateur en quelques minutes puis bloquent la machine en affichant un message exigeant le paiement d'une rançon avant un certain délai sous peine de destruction des fichiers.

Lorsque cela arrive, il faut tout reformater et réinstaller. Il va de soi qu'il ne faut jamais essayer d'entrer en contact avec des cybercriminels pour marchander. Il ne faut jamais payer une rançon29)

Je vous invite à regardez cette petite vidéo à la pédagogie excellente :
21/11/2017: youtube.com > Cookie connecté > Le Ransomware expliqué en 5 minutes

Brève histoire du développement des ransomwares :

  • 2015: Création des premiers ransomwares diffusés de manière ciblée dans des pièces jointe d'email. Les victimes sont essentiellement des entreprises et des agences publiques
  • 2016: Certaines campagnes de diffusion de ransomwares commencent à cibler des particulier avec des montants exigés plus modestes que pour les entreprises.
    Les pirates du groupe des Shadow Brokers s'introduisent dans les systèmes informatiques d'une des quatre agences de renseignement des USA (NSA), volent un grand nombre de documents et d'outils de piratage informatique (virus, etc.) essentiellement basés sur des failles de sécurités secrètes, puis diffusent ces données sur certains sites du Dark web
  • 2017: Création des premiers virus informatiques comportant des ransomwares (cryptovirus) et basés sur les techniques virales de la NSA. Enfin alerté par les services de renseignement états-uniens, Microsoft publie en mars des mises à jour cruciales pour la sécurité de Windows. Étant donné que beaucoup d'entreprises n'appliquent les mises à jour Windows qu'avec méfiance et parcimonie, à partir du 12 mai, le virus ransomware WannaCry se répand comme une traînée de poudre, touchant de nombreuses entreprises, mais aussi des particuliers en lien avec ces entreprises ou associations
  • 2018: Interviewé par le journaliste Gilbert Kallenborn30), Laurent Heslault – spécialiste en cybersécurité chez Norton by Symantec – déclare : " Le ransomware va se généraliser et s’étendre aux smartphones et aux objets connectés. En particulier, nous craignons l’arrivée des ransomwares sur les téléviseurs connectés. C’est parfaitement possible, nous l’avons testé en laboratoire." Il ajoute "Tout le monde connaît désormais une victime de ransomware dans son entourage mais les personnes qui font régulièrement des sauvegardes sont encore trop peu nombreuses. Pourtant c’est une technologie qui est ancienne et simple à utiliser".
  • 2019: (03/10/2019) Les pirates ont infecté plus de 600 organisations états-uniennees depuis le début de l’année, semant le chaos sur leurs passages. Certains centres médicaux ont fermé leurs portes, parfois pour toujours. L’année 2019 est une année noire pour les États-Unis au niveau des ransomwares.
    (Source : 03/10/2019: 01net.com > Hôpitaux, écoles, services publics... les ransomwares déferlent sur les États-Unis)
  • 2020: En plus de relever pour 2019 une augmentation phénoménale des infections des Macs par les malwares marketing, le rapport annuel de la société Malwarebytes indique pour 2020 les 3 tendances suivantes31) :
    • Accentuation de la diversification des vecteurs d'attaque des systèmes informatiques
    • Accentuation de la tendance à l'exfiltration silencieuse des données avant mise en œuvre des ransomwares
    • Hausse du nombre de cybercriminels non affiliés à un état
  • 2020 jusqu'à nos jours: Les milliers de victimes de la pandémie de COVID-19 révèlent au grand jour les points faibles organisationnels des pays riches, qui pour la majorité, on vu arriver la catastrophe et décidé de "vivre avec le virus", en sacrifiant les plus fragiles malgré leur démographie spécifique marquée par le baby-boom. Cette stratégie de faire fonctionner la société en "démerdentiel" (objectif de conserver la même activité économique avec moins de personnel opérationnel) est un attracteur inespéré pour les cybercriminels qui, espérant exploiter les points faibles des pays riches, multiplient les cyberattaques dans tous les domaines
  • 2022: Développement en forte hausse des wipers ("essuie-glaces" en français). Ces logiciels malveillants se contentent de supprimer toutes les données et répondent à une logique de guerre : frapper vite et fort pour neutraliser l'ennemi. Depuis les prémisses de l'invasion de l'Ukraine par la Russie, Microsoft a renforcé considérablement ses équipes de cybersécurité. Brad Smith (en) qui est à la fois président, vice-président et directeur exécutif de Microsoft32), a en effet déclaré le 28/02/2022 (en) : "L'une de nos principales responsabilités mondiales en tant qu'entreprise est d'aider à défendre les gouvernements et les pays contre les cyberattaques. Ce rôle a rarement été plus important que la semaine dernière en Ukraine, où le gouvernement ukrainien et de nombreuses autres organisations et personnes sont nos clients. […] Nous avons également informé le gouvernement ukrainien des récents cyber-efforts visant à voler un large éventail de données, y compris des informations personnelles identifiables (IPI) liées à la santé, à l'assurance et au transport, ainsi que d'autres ensembles de données gouvernementales."33)

Quelle leçon tirer de la multiplication des ransomwares ?

L'objectif du ransomware est de récolter un maximum d'argent à très court terme en extorquant les utilisateurs finaux d'ordinateurs. C'est pourquoi cet objectif d'obtenir un rendement financier important a d'abord mobilisé les développeurs de ransomwares dans des campagnes d'envoi d'emails en masse vers des cibles très solvables comme les entreprises et les collectivités. Puis, stimulés par la possibilité d'intégrer les outils de piratage de la NSA, ces développeurs ont créé les cryptovirus qui ajoutent un élément aléatoire à la diffusion de ces ransomwares.

Contrairement aux virus classiques, les cryptovirus prennent le risque d'être détectés trop tôt en passant très rapidement en phase d'attaque. Ils n'en restent pas moins extrêmement dangereux par leur caractère hautement destructif à très court terme. C'est pourquoi une protection antivirus efficace doit impérativement prendre ces nouvelles menaces en compte.

Quelques grandes sociétés antivirus ont développé avant les autres, des technologies de prévention anti-ransomware. Les sociétés de sécurité informatique bien connues du grand public pour leurs antivirus gratuits comme Avira, Avast ou AVG (rachetée par Avast en 2016) ne semblent pas avoir procédé aux mêmes investissement de recherche. Leurs antivirus respectifs ont proposé de bloquer les ransomwares 1½ an à 2 ans après les premières (vraisemblablement après avoir acheté des technologies brevetées de leurs concurrents plus sérieux). Par ailleurs, il est recommandé de fuir ce genre de sociétés dont le modèle d'entreprise ("business model") est basé sur la récolte et la revente de données personnelles, et dont la culture d'entreprise n'est pas au niveau d'une société spécialisée en sécurité digne de ce nom34).

N'oubliez pas qu'il faut toujours désinstaller un antivirus résidant en mémoire avant d'en installer un autre. Windows s'efforce de désamorcer les guerres de territoire entre antivirus, comme cela arrivait dans ses anciennes versions lorsque, à la fois le disque dur et le microprocesseur étaient pris en otages entre antivirus concurrents voulant avoir la priorité l'un sur l'autre. Mais il reste prudent de n'avoir qu'un seul antivirus installé dans le système (voir paragraphe "Désinstallateurs d'antivirus").

Désinstallateurs d'antivirus

Il faut toujours désinstaller un antivirus résidant en mémoire avant d'en installer un autre, ceci afin que Windows ne soit pas le terrain de guerre des antivirus qui veulent avoir la priorité l'un sur l'autre.

Certaines sociétés d'antivirus proposent un programme de désinstallation de leur propres logiciels antivirus. Ce logiciel de désinstallation spécifique est parfois meilleur que le désinstallateur intégré qui est accessible dans le panneau des applications Windows. Parfois il est moins efficace.

Cas particulier bien pratique, la société antivirus ESET fournit un désinstallateur universel d'antivirus sous le nom de "ESET AV Remover" :

Voici les programmes désinstallateurs dédiés des autres sociétés antivirus :

Les méthodes de maintenance curatives antivirale

Méthodes curatives contre les infections virales
Méthode Avantages Inconvénients
Scan au démarrage par un antivirus gratuit de type Avast, AVG, Avira, etc.Très mauvais résultats de détection35)Perte de temps.
L’entreprise Avast (qui a racheté AVG) ayant été piratée en 2019 pendant 5 mois36), et sa filiale Piriform ayant été piratée en 2017 pour transformer CCleaner en cheval de Troie pendant 3 semaines37), il est fortement déconseillé d’utiliser ces logiciels
Installation de Bitdefender en version d’évaluation gratuite puis exécution d’un scan au démarrage38)Bon résultats de détection et d’éradication des virus mais détection non garantie à 100%.
Opération accessible aux néophytes
Durée d’installation de Bitdefender ≥45 minutes.
Durée du scan plus ou moins longue selon le nombre de fichiers du disque dur (>2h sur disque dur électro-mécanique)
Scan complet par un utilitaire antivirus (gratuit) non résident en mémoire Kaspersky Virus Removal Tool (KVRT) et/ou Sophos Scan & Clean39)Opération accessible aux néophytes.
Évite de désinstaller l’antivirus existant.
Possibilité de cumuler plusieurs scan d’antivirus différents
Détection possible mais pas certaine du virus.
Durée plus ou moins longue selon le nombre de fichiers du disque dur (>2h sur disque dur électro-mécanique)
Démarrage du PC sur le Live Boot CD ou USB Kaspersky Rescue Disk puis scan complet du disque dur40)Bons résultats de détection et d’éradication des virus mais détection non garantie à 100%Opération nécessitant d’être expérimenté en informatique.
Durée plus ou moins longue selon le nombre de fichiers du disque dur (>2h sur disque dur électro-mécanique)
Reformatage du disque dur puis réinstallation complète du système (nécessaire en cas d’infection par ransomware)Éradication certaine du virusOpérations longues nécessitant d’être expérimenté en informatique
(à fortiori pour sauvegarder les données avant formatage, afin de ne pas risquer une réinfection ultérieure depuis ces données)
Réinitialisation de Windows 8, 10 ou 11 SANS conservation des données41)Opération relativement courte (45’ à 1h30 sur disque dur électro-mécanique) et accessible aux néophytes
Perte des données et des logiciels installés
Le virus peut soit être écrasé (s’il est basique ou bâclé), soit se réactiver dans le système(s’il est sophistiqué).
Réinitialisation de Windows 8, 10 ou 11 AVEC conservation des données42)Conserve les données utilisateurs
Opération relativement courte (45’ à 1h30 ) et accessible aux néophytes
Perte des logiciels installés.
Le virus peut soit être écrasé (s’il est basique ou bâclé), soit se réactiver dans le système(s’il est sophistiqué).

Scanners antivirus en ligne

Les sites suivants permettent de scanner un fichier ou une page web en ligne, par un ou plusieurs antivirus en simultané :

Scanners antivirus non résidents en mémoire

En cas d'une suspicion d'infection par un virus furtif, une analyse croisée par des programmes différents peut être utile : les programmes antivirus ci-dessous ne résident pas en mémoire quand l'utilisateur les arrête. Ils ne sont pas chargés au démarrage de Windows et n'entrent pas en conflit avec un éventuel antivirus installé dans le système :

Live Boot CD Antivirus

Utilisateurs expérimentés
Les liens qui suivent sont réservés aux utilisateurs expérimentés :

Nom Langues Configuration mini Média Système Avantage
Kaspersky Rescue Disk anglais, russe
(Clavier FR:
setxkbmap fr
ou bien
Menu XFCE > Settings > Keyboard)
RAM ≥ 1 Go
CPU : Intel Pentium 1 GHZ
CD-ROM
(USB optionnel)
GNU/Linux Gentoo
et XFCE
Fonctionne sur les vieux PC.
Internet facultatif si
base de données virale téléchargée séparément
Bitdefender Rescue CD
OBSOLÈTE45)
Version 12-Dec-2018
(latest)
anglais Développement abandonné46).
Buggué :
Crash interface graphique puis débouche sur login terminal
DVD-ROM
(USB optionnel)
Bitdefender Rescue CD
OBSOLÈTE47)
Version 27-Jan-2017
anglais, français, allemand,
espagnol, turc, portugais, roumain
(Clavier FR:
setxkbmap fr
ou bien
Menu XFCE > Paramètres > Clavier)
Cette version fonctionnait parfaitement.
RAM ≥ 2 Go sinon crash
CD-ROM
(USB optionnel)
GNU/Linux Gentoo
et XFCE
Inclut un téléchargeur
installateur de Teamviewer pour être aidé à distance
ESET SysRescue Live
OBSOLÈTE
Multilingue, françaisÉtait compatible avec Windows 8.1, 8, 7, Vista, XP, 2000CD-ROM
(USB optionnel)
GNU/LinuxNon testé

Stress test d'anti-virus

Les liens qui suivent sont réservés aux Utilisateurs expérimentés :

Alternatives aux antivirus sous Windows

Les alternatives présentées ci-dessous sont réservées aux utilisateurs expérimentés.

Les utilisateurs expérimentés qui ne souhaitent pas installer d'antivirus sous Windows peuvent néanmoins se prémunir de la propagation des virus et ransomwares sur leur système en exécutant tout processus de navigation web à l'intérieur d'un environnement logiciel cloisonné :

  • Prévention via un logiciel de virtualisation d'ordinateur complet :
    • VirtualBox (site officiel) :
      Gratuit et le plus connu des logiciel de virtualisation, VirtualBox crée des environnements matériels (émulation). À l'intérieur de chacune de ces machines virtuelles, il est possible d'installer un système d'exploitation depuis son CD ou DVD d'installation. Outre l’étanchéité entre machine réelle et machine virtuelle, il est possible de sauvegarder l'état de cette dernière, afin de la restaurer ultérieurement à son état antérieur
  • Prévention via un logiciel de Sandbox :
    • Logiciel en essai libre Sandboxie (en) (site officiel) (racheté par Sophos en 2017) :
      À chaque fois qu'un programme démarré dans l'environnement Sandboxie souhaite accéder à une ressource de type fichier ou clé de registre Windows, Sandboxie lui présente une copie de celle-ci, sans que le programme en sandbox puisse le détecter. Ainsi, toute modification effectuée par le programme invité en sandbox s'effectue dans l'environnement de Sandboxie, non dans les ressources du système.
      La version gratuite de Sandboxie est disponible pour un démarrage manuel uniquement. Après 30 jours d'essai, elle impose d'attendre 30 seconde à chaque démarrage du logiciel.
      Avertissement n°1 : Si Sandboxie gratuit protège contre l'écriture et modification des fichiers et clés de registre Windows, il ne protège pas contre la lecture des données, notamment personnelles.
      Avertissement n°2 : En dépit de sa simplicité apparente, Sandboxie doit être installé et configuré par un utilisateur suffisamment expérimenté pour dépanner l'ordinateur dans le mode sans échec de Windows. Il y a en effet, un risque de conflit avec certains logiciels de sécurité éventuellement installés (Plus d'informations sur la page Known Conflicts).

Quelques lacunes de Windows Defender dans la presse

  • 31/05/2017: 01net.com > Faille critique dans Windows Defender : patchez vos systèmes !
    Petit détail intéressant : les récentes failles ont été trouvé par fuzzing, c'est-à-dire en injectant des données aléatoires au niveau des entrées du programme. Pour appliquer cette technique, les chercheurs de Google ont fait l'effort de porter le moteur de protection antimalware de Microsoft vers… Linux. En effet, de nombreux outils de fuzzing sont disponibles sous le système d'exploitation open source, facilitant ce type de recherche. Surprise, I ported Windows Defender to Linux. https://t.co/7eP48O87Vi — Tavis Ormandy (@taviso) 23 mai 2017
  • 08/12/2017: 01net.com > Une faille critique dans Windows Defender permet de pirater les PC à distance
    La faille de sécurité trouvée dans ce logiciel (CVE-2017-11937) provoque une corruption de la mémoire et permet à un attaquant d'exécuter du code à distance et de prendre le contrôle total de la machine. Pour l'exploiter, il suffit de créer un fichier piégé et de faire en sorte qu'il soit scanné par le Malware Protection Engine. Ce qui arrive quand le mode de protection automatique est activé et quand l'utilisateur, par exemple, ouvre une pièce jointe dans un email ou message instantanée, télécharge un fichier sur un réseau de partage ou consulte un site web.
  • 05/04/2018: 01net.com > Une faille critique dans Windows Defender permettait de pirater les PC à distance
    Microsoft a intégré dans ses produits le code open source du logiciel "Unrar". Mais en procédant à quelques petites modifications malheureuses, l'éditeur a ouvert une énorme brèche de sécurité, aujourd'hui corrigée. Voilà ce qu'on appelle une belle bourde. Mardi dernier, Microsoft a corrigé une faille critique (CVE-2018-0986) dans ses logiciels de sécurité Windows Defender et Security Essentials qui permettait de faire exécuter du code arbitraire à distance sur n'importe quel ordinateur Windows 7 et supérieur. Il suffisait d'envoyer une archive RAR piégée à l'utilisateur ciblé. Dès que le fichier était scanné par le logiciel, l'attaquant gagnait le contrôle total de la machine. […] Ce n'est pas la première fois que ce type d'erreur survient. Sur Twitter, un collègue de Halvar Falke, Tavis Ormandy, rappelle que l'éditeur Avast avait lui aussi, par le passé, procédé à quelques subtils changements dans le code du logiciel Unrar pour se retrouver avec un beau dépassement de mémoire tampon.

Quelques articles sur Kaspersky en lien avec le boycott des produits russes consécutif à l'invasion militaire de l'Ukraine

  • 23/12/2020: [Kaspersky] datanews.levif.be > Kaspersky déplace son traitement des données hors de Russie : L'entreprise de sécurité IT Kaspersky a déménagé son traitement de données mondial dans un centre de données établi en Suisse. La firme d'origine russe entend ainsi (re)gagner la confiance. [..] Dans ce but, elle déplaça il y a deux ans le traitement des données européennes dans un centre de données en Suisse et ouvrit un 'Transparency Center' à Zürich, où des représentants d'organisations peuvent accéder au code-source de l'entreprise. Entre-temps, cinq de ces centres ont donc été ouverts, dont le plus récent au Canada. A présent, le traitement des données des clients d'Asie et d'Australie a aussi été déménagé à Zürich. Il s'agit ici de ce qu'on appelle les données virales. Pour protéger les ordinateurs des utilisateurs de la firme, le logiciel de Kaspersky Lab en scanne tous les fichiers et si quelque chose de malveillant est découvert, il le transfère, moyennant approbation de l'utilisateur, vers l'entreprise et donc vers le centre de données de Zürich. C'est là que les échantillons sont automatiquement traités, afin d'actualiser les bases de données virales par exemple
  • 02/03/2022: [Kaspersky] cert.ssi.gouv.fr > [MàJ] Tensions internationales – Menace cyber
  • 03/03/2022: [Kaspersky] lemondeinformatique.fr > L'ANSSI sème le doute sur l'usage des solutions Kaspersky
  • 03/03/2022 (MàJ): [Kaspersky] orangecyberdefense.com > Blog > Cyber war against Ukraine: Observations and recommendations (archive.org) : […] L'ANSSI, l'agence française de cybersécurité, a mis à jour ses recommandations. Elle conseille désormais aux organisations de commencer à penser à remplacer toute solution de cybersécurité russe, car il est prévu qu'elle ne soit pas en mesure de maintenir ses produits aux niveaux de sécurité requis à l'avenir. Un de ces fournisseurs mentionnés est évidemment Kaspersky, qui s'est efforcé de rester neutre depuis l'escalade du conflit.
  • 03/03/2022: [Kaspersky] numerama.com > cyberguerre > C'est peut-être le bon moment de lâcher Kaspersky pour un autre antivirus. L'organisme français chargé de la cyberdéfense du pays invite à réfléchir sur l'usage à long terme de l'antivirus Kaspersky, non pas à cause d'un risque de coup fourré de l'éditeur russe, mais parce que les mises à jour pourraient cesser dans un contexte de sanctions croisées.
  • 06/03/2022: [Kaspersky] it-connect.fr > Faut-il continuer à utiliser Kaspersky ? Ce qu'en pense l'ANSSI... : […] En fait, il ne faut pas déconnecter Kaspersky de votre infrastructure sur un coup de tête suite à la situation actuelle : ce comportement n'est pas adapté et il pourrait être préjudiciable dans le sens où l'entreprise ne serait plus protégée. […] Pour conclure, on peut dire qu'il ne faut pas encore se séparer de Kaspersky, mais qu'il vaut mieux s'y préparer et anticiper ce changement dès à présent. […] Pendant ce temps, on peut imaginer que les concurrents vont essayer de profiter de la situation pour récupérer les clients de Kaspersky. […]
  • 07/03/2022: [Kaspersky] linformaticien.com > Guerre en Ukraine : Kaspersky dans le collimateur de l'Anssi
  • 09/03/2022: securityonline.info > nB65 leaked Kaspersky Labs Data
  • 15/03/2022: [Kaspersky] datanews.levif.be > Les autorités allemandes déconseillent d'utiliser les produits antivirus Kaspersky : […] "Une entreprise informatique russe peut mener elle-même des opérations offensives, mais aussi être contrainte d'attaquer des systèmes, faire l'objet de surveillance à son insu lors d'une cyberopération ou être utilisée comme instrument pour mener des attaques contre ses propres clients", poursuit le BSI. L'Office fédéral allemand conseille dès lors aux entreprises de passer à un autre logiciel antivirus. Cette opération doit toutefois être soigneusement planifiée, déclare le BSI : "Si les produits de sécurité informatique - et en particulier les logiciels antivirus - sont désactivés sans préparation, cela nous rendrait vulnérables aux cyberattaques". Le BSI recommande aux entreprises d'évaluer de manière approfondie leur situation actuelle et, si nécessaire, de consulter les fournisseurs de services informatiques certifiés par lui.
  • 17/03/2022: [Kaspesky] kaspersky.fr > Blog > Dommage collatéral – sur la cybersécurité. Lettre ouverte d'Eugène Kaspersky en réponse à l'avertissement contre l'utilisation des produits Kaspersky par l'Office fédéral de la sécurité des technologies de l'information allemand (BSI) : Au cours des trois dernières semaines, la guerre en Ukraine a fait voler en éclats le monde que nous connaissions. Des familles, des relations, des partenariats et des liens d'amitié ont été brisés en Ukraine, en Russie, en Europe et dans le monde entier. L'avalanche de ces événements tragiques nous rattrape tous. Elle a également touché mon entreprise, la plus grande entreprise privée de cybersécurité au monde, qui porte fièrement mon nom. Cette semaine, l'Office fédéral allemand de la sécurité de l'information (BSI) a publié un avertissement concernant les produits Kaspersky, citant les risques potentiels pour la sécurité informatique de ceux qui utilisent les produits et solutions Kaspersky. Sans entrer dans les détails, je peux dire que ces affirmations sont des spéculations qui ne sont étayées par aucune preuve objective et qui n'apportent aucun détail technique. La raison est simple. Aucune preuve d'utilisation ou d'abus de Kaspersky à des fins malveillantes n'a jamais été découverte ni démontrée au cours des vingt-cinq années d'existence de la société, malgré d'innombrables tentatives en ce sens. Sans cette preuve, je ne peux que conclure que cette décision est prise uniquement pour des raisons politiques. Il est tristement ironique que l'organisation qui défend l'objectivité, la transparence et la compétence technique – les mêmes valeurs que Kaspersky a soutenues pendant des années avec le BSI et d'autres régulateurs et organismes européens du secteur cyber – ait décidé ou ait été forcée d'abandonner ses principes littéralement du jour au lendemain. Kaspersky, partenaire de longue date du BSI et contributeur de l'écosystème international de la cybersécurité, n'a eu que quelques heures pour répondre à ces allégations fausses et sans fondement. Ce n'est pas une invitation au dialogue, c'est une insulte. Malgré les propositions répétées de Kaspersky de mener un audit approfondi de notre code source, des mises à jour, de l'architecture et des processus au sein des différents Centres de Transparence en Europe, le BSI ne l'a jamais fait. Cette décision semble omettre également le fait que Kaspersky est depuis des années le pionnier d'une plus grande transparence et a relocalisé les données sur les cybermenaces de nos clients européens en Suisse, et ce, dans le cadre de notre Initiative Globale de Transparence. C'est pourquoi je considère la décision du BSI comme une attaque injuste et injustifiée contre ma société et plus particulièrement contre les employés de Kaspersky en Allemagne et en Europe. Plus important encore, c'est aussi une attaque contre les nombreux consommateurs qui font confiance à Kaspersky, qui a été récompensé il y a deux semaines comme la meilleure offre de sécurité (par AV-Test). Il s'agit également d'une attaque contre les emplois de milliers de professionnels allemands et européens de la sécurité informatique, contre les agents des forces de l'ordre que nous avons formés pour lutter contre la cybercriminalité avancée, contre les étudiants en informatique que nous avons aidés à développer des compétences en cybersécurité, contre nos partenaires de projets de recherche dans les domaines les plus critiques de la cybersécurité et contre des dizaines de milliers d'entreprises européennes de toutes tailles que nous avons protégées de tous les types de cyberattaques. Les dommages à la réputation et aux affaires causés par la décision du BSI sont déjà très importants. La seule question que je me pose est : dans quel but ? L'absence de Kaspersky ne rendra pas l'Allemagne ou l'Europe plus sûre. Bien au contraire. La décision du BSI signifie qu'il est fortement conseillé aux utilisateurs de désinstaller immédiatement le seul antivirus qui, selon AV-Test – un institut de sécurité informatique indépendant – garantit une protection à 100 % contre les rançongiciels. Nous considérons que cette décision est injuste et malvenue. Néanmoins, nous sommes prêts à répondre à toutes les préoccupations de manière objective, technique et honnête. Nous remercions les régulateurs européens – tels que les agences de cybersécurité française ANSSI et italienne ACN – et les experts de l'industrie qui ont adopté une approche plus rationnelle en recommandant une analyse technique et un examen supplémentaires des solutions de sécurité et de la chaîne d'approvisionnement informatique. Je m'engage pleinement à fournir toutes les informations et la coopération requises de Kaspersky tout au long de ce processus. Et je souhaite dire à nos clients européens que nous sommes immensément reconnaissants que vous ayez choisi Kaspersky, et que nous continuerons à faire ce que nous faisons le mieux : vous protéger contre toutes les cybermenaces, peu importe d'où elles viennent, tout en étant totalement transparent en ce qui concerne notre technologie et nos opérations. La guerre en Ukraine ne peut prendre fin que par la diplomatie, et nous espérons tous la fin des hostilités et la poursuite du dialogue. Cette guerre est une tragédie qui a déjà fait souffrir des personnes innocentes et qui a eu des répercussions dans notre monde hyper connecté. L'industrie mondiale de la cybersécurité, qui s'est construite sur la base de la confiance et de la coopération pour protéger les liens numériques qui nous relient les uns aux autres, est aujourd'hui également touchée par ce conflit – ce qui laisse donc le monde encore moins sûr.
  • 17/03/2022: [Kaspesky] developpez.com > Kaspersky s'exprime : "Nous n'avons aucun lien avec le gouvernement russe". Selon l'entreprise privée, il s'agit d'une décision purement politique : L'Autorité fédérale de cybersécurité d'Allemagne (BSI, pour son acronyme en allemand) a exhorté mardi les entreprises et les utilisateurs à éviter l'utilisation des programmes populaires d'antivirus et de sécurité informatique de la société Kaspersky, créée en Russie en 1997. La multinationale privée spécialisée dans la sécurité des systèmes d'information, proposant des antivirus ne voit aucune raison technique justifiant l'avertissement de l'autorité fédérale allemande chargée de la cybersécurité concernant l'utilisation du logiciel antivirus. Selon l'agence allemande, cette firme, qui revendique plus de 400 millions d'utilisateurs et 240 000 entreprises clientes dans le monde, présente "un risque considérable de réussite d'une attaque informatique." La BSI a averti mardi que l'entreprise technologique russe "peut mener des opérations offensives, être contrainte d'attaquer des systèmes contre sa volonté, être espionnée dans le cadre d'une cyberopération à son insu, ou être utilisée abusivement comme outil pour des attaques contre ses propres clients." Kaspersky dément, déclarant : "Nous sommes une entreprise privée de cybersécurité mondiale et, en tant que telle nous n'avons aucun lien avec le gouvernement russe ou autre." Notons que Kaspersky, entreprise technologique née en Russie, selon les données de la société Opswat (qui exclut dans ses rapports l'antivirus Windows Defender, préinstallé sur tous les ordinateurs qui fonctionnent avec cette programmation), figure parmi les 10 entreprises ayant la plus grande part de marché dans le domaine de la sécurité, entre 4 et 7 % selon les mois. Smartprofile porte sa présence à 12 %. Son antivirus gratuit (Kaspersky Security Cloud Free) est l'un des plus utilisés et considéré comme l'un des plus efficaces par l'Organisation des consommateurs et des utilisateurs. Ses programmes de paiement figurent également parmi les meilleures ventes en ligne. L'alerte de l'Autorité fédérale de cybersécurité vise en particulier les entreprises et les exploitants d'infrastructures critiques, qui sont "particulièrement vulnérables". L'aéroport de Munich, l'un des plus importants d'Europe (50 millions de passagers, 100 compagnies aériennes et 250 destinations de 75 pays avant la pandémie) a confié sa sécurité informatique et ses données au programme Kaspersky Threat Intelligence en octobre dernier. […] Début mars, les autorités françaises ont lancé un avertissement similaire sur le potentiel des programmes de l'entreprise russe. Cependant, le BSI va plus loin en étendant sa recommandation sur l'utilisation de Kaspersky aux utilisateurs privés. […] Kaspersky a défendu son "engagement permanent envers l'intégrité et la confiance" et a insisté sur sa relation nulle avec tout gouvernement. En ce sens, il a réitéré les paroles de son fondateur rejetant la guerre. L'entreprise a également souligné que son infrastructure de traitement des données a été déplacée en Suisse en 2018. Les fichiers malveillants et suspects volontairement partagés par les utilisateurs des produits Kaspersky en Europe sont traités dans des centres de données situés en Suisse, avec des installations de premier ordre et répondant à toutes les normes de l'industrie pour garantir les plus hauts niveaux de sécurité. […] Concernant l'invasion de l'Ukraine, Kaspersky souligne que la guerre que subit l'Ukraine "n'est bonne pour personne" et que, de l'intérieur, on estime que "le dialogue pacifique est le seul instrument possible pour résoudre les conflits." […] Kaspersky invite ses clients et les organismes de réglementation, tels que les agences de cybersécurité, à "effectuer un examen technique complet et gratuit de ses solutions", y compris les développements de programmes, le code source, les versions et les mises à jour des bases de données, ainsi que les rapports d'audit.
  • 17/03/2022: [Kaspersky] lemondeinformatique.fr > Kaspersky, persona non grata dans plusieurs pays européens : Après les réserves de la France, l'Allemagne et l'Italie ont soulevé les risques d'utiliser les logiciels Kaspersky dans le contexte du conflit ukrainien. Ils prônent leur remplacement par des solutions alternatives. L'éditeur se défend en mettant en avant des décisions politiques et non basées sur des éléments techniques. Sale temps pour Kaspersky.
  • 22/03/2022: silicon.fr > L'ANSSI italienne déconseille à son tour Kaspersky : […] La crise ukrainienne "rend opportun d'examiner ce qu'implique l'usage de technologies informatiques issues de sociétés liées à la Russie". À ce jour, reconnaît l'agence, "il n'existe aucune preuve d'une baisse de qualité des produits et des services fournis". Mais on ne saurait se passer d'une "réévaluation du risque". Ni d'envisager, d'une part, l'adoption de "mesures atténuantes"… et de l'autre, une "diversification". Qui portera autant sur les EDR, le WAF, la protection des e-mails, la protection du cloud et les services de sécurité gérés, affirme l'ANSSI italienne.
  • 25/03/2022: [Kaspesky] kaspersky.com > Kaspersky statement on the FCC public notice : Kaspersky releases an official statement in response to the public notice issued by the U.S. Federal Communications Commission on March 25, 2022
  • 25/03/2022: [Kaspesky] developpez.com > Sécurité : un distributeur abandonne la solution antivirus Kaspersky en représailles à l'invasion russe en Ukraine et signe "les nations occidentales ont la responsabilité d'agir" : Le distributeur australien de technologies Dicker Data a décidé de mettre fin à sa relation commerciale avec l'éditeur russe de logiciels de sécurité Kaspersky. La manœuvre fait suite à une sortie de l'Office fédéral allemand de la cybersécurité informatique qui met en garde contre l'utilisation de l'antivirus Kaspersky en raison de la menace cybernétique que représente la Russie. La décision de l'entreprise australienne découle de ce qu'elle estime que "les nations occidentales ont la responsabilité d'agir." Motif supplémentaire : son directeur d'exploitation est ukrainien donc affecté au premier rang par l'opération militaire russe en Ukraine. …
  • 28/03/2022: [Kaspesky] siecledigital.fr > Kaspersky, China Mobile et China Telecom sont des menaces de sécurité pour la FCC. Ils ont été ajoutés à une liste leur fermant l'accès à des subventions de l'agence américaine des télécommunications : La Federal Communications Commission (FCC) a ajouté le 25 mars l'entreprise de cybersécurité Kaspersky et les opérateurs China Mobile et China Telecom à sa liste recensant les entreprises "réputés présenter un risque inacceptable pour la sécurité nationale des États-Unis ou la sécurité et la sûreté des personnes des États-Unis". Les trois sociétés rejoignent Huawei ou ZTE. Elles ne pourront plus prétendre au fonds de 8 milliards de dollars annuels de la FCC pour soutenir les services de télécommunications en zone rurale, pour les consommateurs à faibles revenus, les écoles, les bibliothèques, les hôpitaux. Kaspersky rejette les accusations comme China Mobile et Telecom. Kaspersky est la première entreprise à figurer dans une liste exclusivement occupée jusqu'à présent par des entreprises chinoises. L'entreprise de cybersécurité d'origine russe a déjà été interdite d'accès aux réseaux du gouvernement américain depuis 2017. Kaspersky s'est dit "déçue de la décision de la FCC" prise "pour des raisons politiques" et non "basées sur une évaluation technique des produits Kaspersky". […] Pour China Mobile et China Telecom, la nouvelle est moins surprenante. En 2019 la candidature de China Mobile pour proposer des services de télécommunications aux États-Unis avait été rejetée pour des raisons de sécurité. L'autorisation de China Telecom, elle, a été révoquée en octobre 2021. Pour les Américains, la société est complètement soumise aux ordres de Pékin. Force est d'admettre que la réaction officielle n'est pas venue des deux entreprises, mais bien de l'ambassade de Chine à Washington d'après Reuters. Elle reproche à la FCC d'abuser de son pouvoir et d'attaquer "avec malveillance les opérateurs de télécommunications chinois, une fois de plus sans fondement factuel". L'ambassade demande aux États-Unis de revenir sur cette décision.
  • 28/03/2022: [Kaspesky] lemondeinformatique.fr > Kaspersky blacklisté par l'administration Biden : L'autorité de régulation des télécoms américaine a ajouté les produits et services de l'éditeur russe en sécurité Kaspersky sur la liste des équipements portant atteinte à la sécurité nationale. La société est par ailleurs exclue du programme de bug bounty de HackerOne. Les nuages noirs s'amoncellent au-dessus de la tête de Kaspersky. Devenu persona non grata dans plusieurs pays d'Europe suite à la guerre en Ukraine ayant débouché sur une vague d'embargos sur de nombreuses entreprises russes, Kaspersky était déjà en délicatesse aux Etats-Unis où ses produits étaient déjà banni des agences gouvernementales pour cause de risque de cyber-espionnage. Cette fois, le curseur est placé un cran plus loin avec la décision prise par l'autorité de régulation des télécoms américaine (Federal Communications Commission ou FCC) en fin de semaine dernière. […] La dernière salve de solutions étrangères bannies des Etats-Unis remonte au 12 mars 2021 et concernait des services de télécommunications Huawei Technologies, ZTE, Hytera Communications, Hangzhou Hikvision Digital Technology Company et Dahua Technology Company. Couper le robinet pour financer l'achat et la maintenance de solutions. La présence de Kaspersky sur la liste signifie, comme le rappelle Reuters, que l'argent du fonds de service universel (USF) annuel de la FCC d'un montant de 8 milliards de dollars ne peut pas être utilisé pour acheter ou maintenir ses produits. Ce fonds est utilisé à différentes fins comme les télécommunications pour les zones rurales, les clients à faible revenus, des installations publiques au sein d'écoles, de bibliothèques, d'hôpitaux… La décision de la FCC n'a pas directement vocation à contraindre directement les agences gouvernementales et les administrations publiques à ne plus recourir aux solutions de Kaspersky, mais un coup d'arrêt à ces subventions risque bien de nuire sérieusement à l'activité du groupe. En agissant de la sorte, les Etats-Unis pensent-ils éviter un conflit ouvert de plus avec la Russie ? On se doute bien que l'étape d'après serait une interdiction pure et simple du recours aux solutions et services. […] En parallèle de l'action de la FCC à l'encontre de Kaspersky, l'éditeur est également bouté de la plateforme de bug bounty HackerOne. "Nous avons suspendu les programmes pour les clients basés dans les pays de la Russie, de la Biélorussie et des zones sanctionnées de l'Ukraine. Cependant, HackerOne ne bloquera pas l'accès aux divulgations de vulnérabilité soumises avant la suspension des services", a expliqué HackerOne. "Nous avons suspendu les paiements aux hackers dans les régions sanctionnées. Tous les paiements dus à des hackers en Russie ou en Biélorussie sont retenus jusqu'à ce que la situation change". Une situation qui a encore fait réagir l'éditeur russe : "Nous sommes tristes d'annoncer que le programme de bug bounty Kaspersky hébergé sur la plateforme HackerOne est suspendue indéfiniment en raison d'une action unilatérale de HackerOne […] Kaspersky trouve que cette action unilatérale est un comportement inacceptable, en particulier vis-à-vis des acteurs clés de la communauté coordonnant ce programme de vulnérabilité où la confiance entre toutes les parties est primordiale pour concevoir des produits et des services plus sûrs".
  • 28/03/2022: [Kaspesky] lemondeinformatique.fr > Kaspersky blacklisté par l'administration Biden
  • 28/03/2022: [Kaspesky] numerama.com > Kaspersky est de plus en plus indésirable aux États-Unis - Sale temps pour Kaspersky
  • 07/04/2022: [Kaspersky] lemondeinformatique.fr > Kaspersky: les entreprises françaises cherchent une porte de sortie : […] Dans un récent sondage du club des experts de la sécurité de l'information et du numérique mené auprès de 201 membres RSSI, près du quart (soit une cinquantaine) déclarent utiliser des produits Kaspersky. Parmi eux, 84% ont indiqué prévoir de faire évoluer leur stratégie de protection en changeant de produit dont 40% précisant que ce chantier a d'ores et déjà commencé tandis que 44% envisagent de le faire à court ou moyen terme. "Le fait que la Russie est du mauvais côté du manche et la crainte de ne plus disposer par exemple des bases de signatures amplifie un phénomène de décommissionnement des solutions Kaspersky dans les entreprises", poursuit Alain Bouillé. Un son de cloche similaire du côté du Clusif cette fois : "Des grandes organisations sont en train d'opérer en urgence des plans de bascule et je ne vois pas quel phénomène pourrait l'endiguer voire l'inverser", explique Loïc Guézo, secrétaire général du club de la sécurité de l'information français. […] "Lorsque la FCC a ajouté Kaspersky à sa liste d'entreprises dont les produits ou services pourraient constituer une menace pour la sécurité, nous avons contacté le petit nombre de clients dans le monde dont nous savions qu'ils utilisaient le logiciel antivirus Kaspersky et les avons encouragés à passer à Bitdefender, que Kaseya revend. La sécurité de nos clients est primordiale et nous continuerons à les soutenir de toutes les manières possibles", nous a indiqué Dana Liedholm, vice-présidente senior marketing de Kaseya. "Nous répondons aux questionnements autour des mises à jour et de la corruption produit avec tous les protocoles nécessaires, les centres de transparence, les audits et la résilience de nos infrastructures et sur la façon dont les mises à jour sont proposées", fait savoir Bertrand Trastour, directeur général France et Afrique de Kaspersky. […] Aucune backdoor identifiée dans les solutions Kaspersky à ce jour. Face à cette situation délicate, Kaspersky veut quoi qu'il en soit convaincre : "On autorise désormais un accès à distance à nos centres de transparence de Zurich et de Madrid, on travaille avec des entités juridiques locales et des banques locales qui ne sont pas impactées par la déconnexion au système SWIFT, nous avons nos équipes support en France à Rueil Malmaison et reposons sur une architecture serveurs distribuée", indique Arnaud Dechoux, responsable des affaires publiques de Kaspersky. "On nous demande si on peut avoir confiance en nous ? Nous répondons qu'il ne faut avoir confiance en personne mais qu'il faut juger sur pièce et avec toutes nos mesures on espère avoir apporté de bonnes réponses. Cela fait 25 ans que beaucoup de monde essaie de trouver dans notre solution une backdoor sans aucun succès à ce stade".
  • 22/04/2022: [Kaspersky] lemondeinformatique.fr > Le ministère de l'Economie écarte Kaspersky de la commande publique : […] Petit à petit l'étau se resserre sur Kaspersky en France. Une fiche technique du ministère de l'Economie envoyée aux administrations porte sur "l'interdiction d'attribuer ou de poursuivre l'exécution de tout marché public ou contrat de concession avec des personnes de nationalité russe, ou avec les personnes, organismes ou entités détenues par une personne russe". Cette décision fait suite au règlement de l'Union européenne du 8 avril 2022 renforçant les sanctions contre la Russie suite aux attaques contre l'Ukraine. […] Kaspersky mis à l'écart de l'administration. Si la fiche technique touche différents marchés, dans le domaine de l'IT, Kapsersky rentre dans ce cadre. Cela signifie que l'éditeur russe est de facto écarté de la commande publique. Pire encore, le document ministériel indique que "tout contrat en cours au 9 avril 2022, soit à la date d'entrée en vigueur du règlement (UE) 2022/576, qui ne serait pas échu au 10 octobre 2025 , doit être résilié avant cette date". Par ailleurs, les titulaires ne pourront prétendre "à aucune indemnisation, y compris une compensation, une prorogation de paiement ou une garantie". Cédric Foll, directeur des infrastructures de l'Université de Lille a indiqué dans un tweet que Kaspersky a été écarté du ministère de l'enseignement supérieur et de la recherche. "Nous avons 16 000 postes concernés, mais nous avions anticipé le risque et nous sommes en train de finaliser la qualification d'une autre solution pour les utilisateurs", nous précise le responsable. Il ajoute que "la migration prendra quelques semaines". […] MAJ: Kasperky nous indique qu'il "a bien pris connaissance de la cinquième série de sanctions de l'UE, qui instaure une interdiction générale sur la participation des entreprises détenues directement ou indirectement à plus de 50% par des citoyens ou des entités juridiques russes, dans les marchés publics des États membres et les organisations de l'UE. Les restrictions imposent un seuil de 140 000 € pour les marchés publics de matériel et de services passés avec les gouvernements centraux, et un seuil de 215 000 € pour ceux passés avec les niveaux inférieurs d'administration. Cela signifie que seuls les appels d'offres ou les contrats importants dépassant les seuils susmentionnés sont concernés". Il ajoute "avec ses partenaires, revendeurs comme distributeurs, les entreprises Kaspersky gérées par des entités locales participent à de nombreux appels d'offres et possèdent des contrats avec les municipalités, les gouvernements locaux et les régions. Ces contrats sont pour la plupart inférieurs aux seuils et ne sont donc pas couverts par les sanctions. Les activités commerciales de Kaspersky restent donc stables." Enfin, il précise que "Kaspersky est une entreprise privée internationale dont le siège social est enregistré au Royaume-Uni"

Liens divers

1)
  • 18/08/2020: 01net.com > Windows 10: Microsoft a mis deux ans pour patcher une faille exploitée par des pirates : Des pirates ont camouflé leurs codes malveillants dans des fichiers d'installation MSI, signés en bonne et due forme. Révélée depuis deux ans, la faille n'a été colmatée que maintenant. […] Or, il s'avère que cette vulnérabilité n'est pas toute récente. Elle a été découverte en août 2018 par le chercheur en sécurité Bernardo Quintero, en analysant un fichier trouvé sur la plateforme VirusTotal. […] En découvrant cela, Bernardo Quintero a immédiatement alerté Microsoft… qui s'est dépêché de ne rien faire. Même quand le chercheur a publié en janvier 2019 une note de blog expliquant tous les détails techniques de cette faille, la firme de Redmond a regardé ailleurs, alors qu'il s'agissait d'une faille zero-day déjà exploitée par des pirates. Par la suite, d'autres notes de blog ont été écrites sur le sujet et davantage de groupes de pirates ont commencé à ajouter cette technique à leur arsenal. En juin 2020, de nouveaux malware GlueBall sont découverts et exposés sur les réseaux sociaux. Cette exposition médiatique a probablement poussé Microsoft a finalement développer un patch. Mieux vaut tard que jamais. Évidemment, l'éditeur n'a donné aucune explication sur ce retard à l'allumage.
2)
Un exemple de complicité de Microsoft avec les arnaqueurs logiciels qui paient pour être dans le catalogue d'applications Microsoft Windows 10 et dont les programmes altèrent les configurations et logiciels installés sauf ceux de Microsoft : lire par exemple les avis utilisateurs de la suite bureautique Trio Office sur le magasin d'applications Microsoft :
Internet Archive > microsoft.com > Trio Office (onglet avis utilisateurs) du 06/03/2020.
En mars 2020, ce logiciel Trio Office était un rogue qui désinstallait partiellement certains programmes (Libreoffice, Malwarebyte Antimalware, etc.) et déconfigurait d'autres logiciels (Mozilla Thunderbird, occultation de l'icône de Kaspersky Internet Security, etc.).
3)
avènement des ransomwares en 2015, puis en 2017 des cryptovirus utilisant les technologies malveillantes piratées aux services de renseignement états-uniens, puis banalisation de ces outils dans les attaques d'extorsion de fond, puis généralisation de ces attaques à partir de 2020 à la faveur de la pandémie de COVID-19
4)
En France, hausse de 37% des intrusions dans les systèmes informatiques en 2021 par rapport à 2020, d'après 09/03/2022: cert.ssi.gouv.fr > Panorama de la menace informatique 2021
5)
  • 23/12/2013: silicon.fr > Microsoft Security Essentials laisse passer 39% des virus : […] Microsoft Security Essentials laisse ainsi échapper 39% des menaces. C'est très loin des solutions commerciales, qui détectent toutes entre 91% et 99% des malwares. L'offre de Microsoft se rattrape toutefois en matière de faux positifs. Quand Security Essentials détecte un virus, il a raison dans 98% des cas. À l'opposé, McAfee Internet Security se trompe dans 39% des cas. In fine, ces deux solutions sont à égalité… dans le bas du tableau. L'une pour son incapacité à détecter les virus, l'autre pour son incapacité à séparer les vraies menaces des fausses alertes. …
6)
7)
La société Malwarebytes qui ne produit pas d'antivirus et la société Sophos spécialisée en produits antivirus d'entreprise, ont également fourni chacune leur propre utilitaire anti-ransomware en beta test.
10)
16/05/2022: communaute.orange.fr > Changement de logiciel sécurité ? : Bonjour pourriez vous m'informer si un changement de logiciel de sécurité à été déployé chez Orange. Bitdefender au lieu de Kasperky. Merci…
11)
14)
  • 23/03/2022: silicon.fr > Russie : à qui profite l'exode de talents IT ? : Entre 50 000 et 70 000 professionnels des technologies de l'information auraient quitté la Russie ces dernières semaines, relève l'Association russe pour les communications électroniques (Russian Association for Electronic Communications, RAEC). "De nombreux spécialistes ont été confrontés à un choix : quitter le pays et avoir la possibilité de travailler avec leur infrastructure habituelle, ou rester en Russie", a expliqué Sergey Plugotarenko, directeur de la RAEC, dans une note datée du 21 mars. En plein conflit Russie-Ukraine, cette "première vague" de départs de spécialistes informatiques russes serait suivie d'une seconde vague plus étendue encore. Ainsi, 70 000 à 100 000 d'entre eux quitteraient le pays en avril 2022. C'est en tout cas ce que prévoit l'organisation créée en 2006 à Moscou pour promouvoir la société russe de l'information. […] La RAEC explique ces départs de la Russie vers d'autres territoires par deux motifs : les "sanctions sans précédent" prises de part et d'autre de l'Atlantique depuis le déclenchement, le 24 février dernier, de l'offensive militaire russe contre l'Ukraine. Les suspensions ou les ruptures d'activités commerciales en Russie d'entreprises et de plateformes occidentales pour lesquelles certains de ces profils travaillaient. …
16)
Note importante : la cyberguerre liée au contexte de la 3e guerre mondiale à commencé à un niveau très faible. Les logiciels malveillants constituent une partie seulement des cyberarmes. Ils pénètrent les systèmes en exploitant des failles de sécurité logicielles / matérielles / humaines. Ces logiciels malveillants sont :
  • soit installés silencieusement, lentement et méticuleusement chez l'ennemi afin de l'espionner et attendre un ordre d'attaque à l'instar d'un sous-marin,
  • soit envoyés contre des ordinateurs via des campagnes plus ou moins ciblées et plus ou moins massives, afin de déstabiliser l'organisation civile voire opérationnelle de l'ennemi
La première stratégie d'attaque par logiciels malveillants doit passer sous les radars et ne passe donc pas par des campagnes massives. Étant donné le coût de mise en œuvre et le caractère hasardeux de cette première stratégie d'attaque (faible retour sur investissement), les états qui l'utilisent visent d'abord à surveiller plus ou moins passivement l'ennemi pendant des mois ou des années. Ce fut le cas de la cyberattaque de 2020 contre les États-Unis, dont le point d'entrée a été la chaîne d'approvisionnement (le sous-traitant informatique SolarWinds et son logiciel de supervision Orion), et dont la détection a été si tardive, que personne aujourd'hui n'est en mesure de garantir l’innocuité de l'administration états-unienne vis-à-vis de l'espionnage russe. Parfois l'état cyberattaquant qui a récolté suffisamment d'informations sur l'ennemi, décide de déstabiliser le système informatique infecté, ce qui conduit à révéler la présence du logiciel malveillant. Ce fut le cas en 2010 lors de l'attaque coordonnée menée conjointement par les services de renseignement états-uniens (précisément la NSA) et les services de renseignement israéliens (précisément l'Unité 8200) contre les centrifugeuses iraniennes d'enrichissement d'uranium (logiciel malveillant Stuxnet).

La deuxième stratégie d'attaque par logiciels malveillants basée sur des campagnes plus ou moins ciblées et plus ou moins massives, est constamment utilisée par des groupes privés ciblant les sociétés civiles pour extorquer de l'argent, avec des méthodes et des technologies dont les chercheurs en cybersécurité – notamment des sociétés d'antivirus – sont à l’affût. Par exemple, les trois logiciels malveillants de type wiper ("essuie-glace") destinés à vandaliser les systèmes informatiques de la société civile ukrainienne, détectés début 2022 par les chercheurs d'ESET. Car une société d'antivirus est d'autant plus capable de détecter des campagnes d'infections virales que ses logiciels sont installés sur un grand nombres d'ordinateurs. Cette deuxième stratégie d'attaque a été relativement peu utilisée contre l'Ukraine au moment de l'invasion de celle-ci le 24 février 2022.

Contrairement aux groupes autonomes de cyberattaquants qui sont plus ou moins partisans des régimes russes ou biélorusses, l'armée régulière russe n'a pas cherché à déstabiliser les infrastructures d'information de l'état ukrainien. Cette attaque militaire contre un pays voisin russophone est donc très spécifique. Comme le souligne Asma Mhalla, maîtresse de conférence à Sciences Po et spécialiste des enjeux politiques du numérique (franceculture.fr, vidéo), l'objectif de l'état russe en cas de victoire, est de prendre le contrôle de la sphère informationnelle ukrainienne, selon une doctrine datant du KGB des années 1970 qui stipule que l'information est plus une ressource stratégique qu'un bien commun.

C'est pourquoi une guerre informationnelle mobilisant tous les moyens des médias traditionnels et numériques du côté ukrainien comme du côté russe, se déroule de manière symétrique, en parallèle de la guerre militaire.

Si le conflit militaire russo-ukrainien s'étendaient à d'autres pays, il n'est pas exclus que des cyberattaques d'ampleurs beaucoup plus importantes surviennent (attaques DDOS, attaques contre des câbles sous-marins et des satellites, missiles contre des points d'échanges Internet, ou contre des centres de données, etc.) juste en amont des attaques militaires classiques.
20)
21)
22)
23)
24)
La Surveillance du système comprend :
  • Protection contre les vulnérabilités. La technologie bloque les programmes malveillants qui utilisent les vulnérabilités logicielles.
  • Contrôle de l'activité des applications À la détection d'une activité suspecte d'une application, la technologie applique une action définie dans les paramètres.
  • Protection contre les programmes de blocage de l'écran ; Vous pouvez utiliser une combinaison de touches indiquée pour que Kaspersky Anti-Virus 2018 reconnaisse et ferme la bannière qui bloque l'écran.
  • Annuler les actions des programmes malveillants Les informations concernant les actions suspectes dans le système sont collectées non seulement pendant la session actuelle mais aussi pendant les sessions précédentes. Il est ainsi possible d'annuler toutes les actions exécutées par l'application si cette dernière est par la suite reconnue comme programme malveillant.
  • Protection contre les cryptovirus. Un cryptovirus sont un programme malveillant qui chiffre les données et demande une rançon pour les restaurer à leur état initial. Si un cryptovirus tente de chiffrer un fichier, l'antivirus créé automatiquement une copie de sauvegarde. Si un cryptovirus a chiffré le fichier, l'antivirus le restaurera automatiquement à partir de la copie de sauvegarde.
    Particularités de la technologie de protection contre les cryptovirus :
    • Les copies de sauvegarde sont enregistrées dans le dossier système de stockage des fichiers temporaires (Temp). Le disque sur lequel le dossier Temp se trouve (d'habitude, c'est le disque C) doit disposer d'au moins 10-15 % d'espace disque libre.
    • Les copies de sauvegarde des fichiers sont supprimées après l'arrêt de Kaspersky Anti-Virus 2018 ou après la désactivation de la Surveillance du système. Les copies de sauvegarde ne sont pas supprimées si l'application s'est arrêtée de manière inattendue. Si nécessaire, vous pouvez supprimer les copies de sauvegarde manuellement en vidant le dossier de stockage des fichiers temporaires (Temp).
25)
23/08/2017: 01net.com > Google Play Store : des portes dérobées découvertes dans des centaines d'applis : Un kit de développement publicitaire embarqué dans plus de 500 applications permettait à une société chinoise d'exécuter n'importe quel type de code sur les terminaux des utilisateurs…
26)
27)
25/04/2018: lemondeinformatique.fr > 5 virus de cryptominage à éviter comme la peste
28)
Note importante à retenir : un antivirus piraté (par exemple Bitdefender Total Security 2010 "activé" jusqu'en 2040) = un virus sur un ordinateur perméable aux autres virus
30)
Article "Pirates, malwares, cybersécurité... ce qui vous attend en 2018", Gilbert Kallenborn, 27/01/2018, 01net.com
31)
Les attaques de rançon contre les organisations vont se poursuivre à un rythme plus rapide, grâce à une diversification des vecteurs d'attaque. Au cours des deux dernières années, les concepteurs de logiciels malveillants se sont tournés vers des cibles commerciales plutôt que vers les consommateurs, et les rançons constituent la menace de choix. Alors que par le passé, les rançons étaient généralement délivrées par le biais d'exploits, l'année 2019 a vu une grande diversité de vecteurs d'attaque larguant leurs logiciels malveillants préférés sur les points d'extrémité des entreprises, des kits d'exploitation aux botnets, en passant par les outils de piratage et l'infection manuelle.

[…]

Nous avons vu tellement d'Emotet et de TrickBot au cours des deux dernières années - souvent les précurseurs des rançons - que nous avons commencé à dire leurs noms dans notre sommeil. Le modèle d'attaque "triple menace" s'est avéré si efficace que nous nous attendons à ce que d'autres chevaux de Troie, droppers, téléchargeurs et botnets se joignent à la fête en 2020, offrant aux affiliés une multitude d'options pour des attaques en plusieurs étapes.

Enfin, le développement et la prévalence d'outils de piratage malveillants conçus pour attaquer plus efficacement les réseaux vont certainement inciter les auteurs de logiciels de rançon et les affiliés à pénétrer d'abord, puis à décimer les infrastructures des entreprises en 2020.

En fin de compte, ce problème de rançon ne disparaîtra pas. Il est probable que de plus en plus de cybercriminels non affiliés utilisent des astuces développées par des groupes de logiciels malveillants parrainés par l'État (APT), comme nous l'avons vu avec EternalBlue. Et si cela arrive, nous allons connaître une année de cybercriminalité mouvementée.
Traduit par DeepL.com/Translator (version gratuite)
Source : 11/02/2020: blog.malwarebytes.com > Malwarebytes Labs releases 2020 State of Malware Report > Malwarebytes Labs presents 2020 State of Malware Report (PDF)
35)
via cette méthode, Avast détecte parfois les virus qu’il a laissé agir dans le système depuis des mois
38)
  1. Désinstaller votre antivirus actuel (voir le paragraphe Désinstallateurs d'antivirus),
  2. Installer la version d'essai d'un des logiciels Bitdefender antivirus (voir le paragraphe Bitdefender),
  3. Puis déclencher un scan complet au démarrage de Windows appelé "Mode de secours Bitdefender" (cf. bitdefender.fr > Mode de secours Bitdefender). Cette fonctionnalité a été ajoutée à l'antivirus Bitdefender à la fin 2019 afin de pallier l'abandon du support de Bitdefender Rescue CD par la société.
40)
cf. paragraphe "Live Boot CD Antivirus"
41) , 42)
cf. support.microsoft.com > Réinitialiser ou réinstaller Windows 10