Page du wiki de Sébastien Sauvage
L’organisme français chargé de la cyberdéfense du pays invite à réfléchir sur l’usage à long terme de l’antivirus Kaspersky, non pas à cause d’un risque de coup fourré de l’éditeur russe, mais parce que les mises à jour pourraient cesser dans un contexte de sanctions croisées.
Ce n’est pas encore un conseil formel, mais à tout le moins une suggestion : compte tenu de la situation internationale avec l’invasion de l’Ukraine par la Russie, il pourrait être judicieux de songer à une alternative aux logiciels russes. Tout particulièrement à celui qui est sans doute le plus célèbre d’entre eux : l’antivirus Kaspersky.
Cette réflexion à a été formulée le 2 mars 2022 par l’Agence nationale de la sécurité des systèmes d’information (Anssi), une organisation qui a pour rôle de soutenir l’État et les opérateurs d’importance vitale en matière de cyberdéfense. Elle assure ainsi le rôle de bouclier face aux menaces électroniques et, quand il y a effectivement le feu, de « cyber pompier ».
L’Anssi suit de très, très près les développements de la guerre russo-ukrainienne, dans son volet cyber. // Source : Wikipédia
« Dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie », souligne ainsi l’agence, qui toutefois tempère son message : il n’y a, « à ce stade », « aucun élément objectif [justifiant] de faire évoluer l’évaluation du niveau de qualité des produits et services fournis. »
Le risque ? Plus aucune mise à jour ne venant de Kaspersky
Alors que l’on pourrait penser que c’est avant tout le risque cyber qui motive l’Anssi dans sa note, il apparaît que c’est en fait un autre risque qui est soulevé : celui de la fin des mises à jour des logiciels Kaspersky dans le cadre des tensions entre la Russie et l’Occident — en représailles, Moscou pourrait ordonner de limiter encore plus les interactions avec l’Ouest.
« L’isolement de la Russie sur la scène internationale […] peut affecter la capacité de ces entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients. À moyen terme, une stratégie de diversification des solutions de cybersécurité doit par conséquent être envisagée », ajoute, l’agence.
Autrement dit, la base virale de Kaspersky pourrait finir par être obsolète et ne plus être efficace face à de nouvelles menaces informatiques qui émergent, que ce soit à cause du conflit russo-ukrainien ou par l’activité habituelle des cybercriminels. On sait d’ores et déjà que sur les réseaux, les frictions sont multiples et des incidents se font jour au fur et à mesure du conflit.
https://www.numerama.com/cyberguerre/871367-guerre-russie-ukraine-la-bataille-se-joue-aussi-dans-le-cyber.html
https://www.numerama.com/cyberguerre/870363-un-satellite-serait-victime-dune-cyberattaque-des-francais-nont-plus-internet.html
Seul Kaspersky est cité dans le message de l’Anssi. Il existe néanmoins d’autres logiciels développés par des entreprises ou des personnes russes, dans le domaine de la sécurité informatique ou non. C’est le cas de Dr.Web, qui est aussi un logiciel antivirus. D’autres projets d’origine russe sont célèbres, comme Telegram, 7-Zip ou Nginx, mais le risque ici n’est pas avéré.
L’Anssi rappelle toutefois une règle de base : il n’est pas recommandé de quitter Kaspersky sans une solution de remplacement. Au regard du « contexte de tensions dans le cyberespace et de cybercriminalité exacerbée », il serait très mal avisé de ne pas avoir une protection adéquate face aux tentatives de phishing, de ransomware ou d’attaque plus directe encore.
Historiquement, Kaspersky a été accusé d’être un cheval de Troie des services de renseignement russes et les solutions de l’éditeur ont été exclues notamment des administrations américaines — nous étions alors un an après l’élection présidentielle américaine de 2016, qui a permis à Donald Trump d’accéder au pouvoir, et Moscou a été accusé d’avoir un rôle d’influence dans ce scrutin.
Cette crise de confiance entre Kaspersky et Washington a été alimentée par des éléments accusant le premier d’avoir servi à des hackeurs russes pour dérober des outils de la NSA. L’antivirus a aussi été suspecté d’avoir détenu des documents classifiés américains. À chaque fois, Kaspersky s’est défendu, proposant même à des experts d’ausculter le code de ses logiciels.
L‘appréciation américaine sur Kaspersky s’avère assez différente de celle qui prévaut en Europe, en tout cas occidentale. L’Allemagne s’est ainsi montrée plus prudente. Et la France, par la voix de l’Anssi, ne recommande pas publiquement de se passer des logiciels de l’entreprise. Du moins, c’était le cas jusqu’au 24 février. Depuis, la donne a quelque peu changé.
Dans un exercice d'équilibriste, l'Anssi a demandé aux entreprises de s'interroger sur l'utilisation des solutions de l'éditeur Kaspersky du fait des liens avec la Russie. Elle prône à moyen terme une diversification des outils de sécurité.
En période de conflit les mots ont un sens et l’ANSSI a du bien peser ses propos publiés dans son rapport sur les menaces dans le cadre de l’invasion de la Russie en Ukraine. Après avoir donné un aperçu des différentes cyberattaques constatées (DDoS, défaçage de sites, spear phishing ou des malwares de sabotage (wiper)), l’agence termine son bulletin par un aparté sur « les outils numériques liés à la Russie ».
Dans ce cadre, la première phrase est sans équivoque. « L'utilisation d'outils tels que ceux de la société Kaspersky, peut être questionnée du fait de son lien avec la Russie », souligne l’Anssi. Tout en nuançant rapidement ses propos dans la phrase suivante, « à ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis ». L’organisme dirigé par Guillaume Poupard pointe notamment un risque d’amoindrir la capacité de ces entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients.
Pas de big bang, mais une diversification à moyen terme
Face à cette problématique, l’Anssi invite les entreprises à réfléchir « à moyen terme, à une stratégie de diversification des solutions de cybersécurité ». En clair, les sociétés disposant d’outils de sécurité comme les antivirus de Kaspersky doivent s’interroger sur le passage à des offres alternatives. Pour autant, les experts insistent bien sur le terme « à moyen terme ». Il ne faut surtout pas déconnecter d’un coup les outils de sécurité, rappelle l'agence. « Sans solution de substitution, cette déconnexion ne saurait être préconisée ». Pas de big bang, mais une anticipation et une préparation donc.
Cela va engendrer des investissements supplémentaires et les concurrents de Kaspersky ont, semble-t-il, déjà démarché les clients pour leur proposer des offres alternatives. Interrogé par la rédaction pour un commentaire sur les propos de l'Anssi, Kaspersky n’a pas répondu au moment de la publication de cet article.
Article rédigé par
Jacques Cheminat
La firme de Redmond a développé l'outil gratuit File Recovery pour Windows 10. Il a pour objectif de récupérer les fichiers supprimés ou perdus.
Tout le monde a au moins une fois dans sa vie supprimer un fichier par erreur, sans avoir fait de sauvegarde. Pour les plus experts et si le fichier était important, il existe des outils de récupération de fichiers. En général, ces solutions sont issues d’éditeur tiers et payantes.
Dans un tweet, WalkingCat, spécialiste de Microsoft, a déniché une application créée par la firme de Redmond baptisée « Windows Recovery Tool » :
https://www.microsoft.com/en-us/p/windows-file-recovery/9n26s50ln705?activetab=pivot:regionofsystemrequirementstab
Cet outil gratuit est maintenant disponible sur le store de l'éditeur et s’adresse aux utilisateurs de Windows 10 (au minimum avec la mise à jour 1904). Dans son intitulé, l’éditeur vante son produit, « vous avez accidentellement supprimé un fichier important ? Nettoyé votre disque dur ? Vous ne savez pas quoi faire avec des données corrompues ? Windows File Recovery peut vous aider à récupérer vos données personnelles ». La solution propose de récupérer des fichiers sur un disque dur, un clé USB et même une carte SD. Sur le plan des formats, l’outil est capable de restaurer des fichiers : JPEG, PDF, PNG, MPEG, Office, MP3 & MP4, ZIP,…
3 modes disponibles et une interface en ligne de commandes
Dans le détail, Recovery File prend en charge trois modes :
- Par défaut : ce mode utilise MFT (table de fichiers principale) pour localiser les fichiers perdus. Il fonctionne correctement quand la MFT et les segments de fichier, également appelé FRS (File Record Segments,) sont gérés.
-Le mode segment : Il ne nécessite pas de MFT, mais des segments. Ces derniers sont des résumés d’information de fichier comme le nom, la date, la taille, le type et l’index des clusters. Ils sont stockés par NTFS dans une MFT.
- Le mode signature : Il est parfaitement adapté à la recherche de fichiers spécifiques sur des périphériques de stockage externe comme une clé USB.
Par contre pour l'utiliser, Microsoft ne propose pas d’interface graphique accessible au simple quidam. Une fois installée, l’application démarre en mode ligne de commande avec l’ensemble des options disponibles.
Hier je vous parlais des nouveautés de la version 2004 de Windows 10. Mais on le sait, une nouvelle version de Windows 10 n’arrive jamais sans bugs.
Dans cet article c’est justement le sujet, voici la liste des problèmes connus sur cette nouvelle mouture de Windows 10. Alors, soyez attentif et comme je vous le dis souvent, ne vous pressez pas pour mettre à jour, jeter un oeil à cette liste avant.
Synthèse :
Un rançongiciel est un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent. Ce document se concentre sur les rançongiciels s’appuyant sur des capacités de chiffrement de fichiers et opérés à des fins lucratives. Il en existe des centaines de variantes.
L’année 2018 a vu la multiplication d’attaques par rançongiciel impactant des entreprises et institutions dans le monde entier, et elles dépassent désormais en nombre celles impactant les particuliers. Ces codes malveillants représentent actuellement la menace informatique la plus sérieuse pour les entreprises et institutions par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité. Sur les très nombreuses attaques de ce type en France, l’ANSSI a traité 69 incidents en 2019 sur son périmètre.
Si la grande majorité des attaques par rançongiciels s’avère être opportunistes et s’appuie essentiellement sur la faible maturité en sécurité numérique de leurs victimes, l’ANSSI et ses partenaires observent depuis 2018 de plus en plus de groupes cybercriminels cibler spécifiquement des entreprises financièrement robustes dans le cadre d’attaques dites « Big Game Hunting », parfois menées en combinaison avec d’autres codes malveillants (cryptomineurs, trojan bancaires). Elles sont réalisées par des groupes d’attaquants aux ressources financières et aux compétences techniques importantes, et présentent un niveau de sophistication parfois équivalent aux opérations d’espionnages informatiques opérées par des États. Alors que les montants de rançons habituels s’élèvent à quelques centaines ou milliers de dollars, celles demandées lors des attaques « Big Game Hunting » sont à la mesure de la cible et peuvent atteindre des dizaines de millions de dollars. Depuis fin 2019, l’ANSSI constate également que certains groupes cybercriminels cherchent à faire pression sur leurs victimes en divulguant des données internes préalablement exfiltrées du système d’information infecté.
Par ailleurs, la campagne d’attaque Wannacry de 2017 a montré que la combinaison d’un rançongiciel et d’un moyen de propagation automatique pouvait occasionner d’immenses dégâts économiques. S’appuyant sur un code sophistiqué mais exploitant une vulnérabilité logicielle connue faisant déjà l’objet d’une mise à jour de sécurité, l’impact de Wannacry aurait pu être fortement limité par une meilleure politique de mise à jour logicielle des entreprises dans le monde.
Les groupes d’attaquants opérant ces rançongiciels s’appuient sur un important écosystème cybercriminel générant deux milliards de dollars de bénéfices annuels. Il permet aux attaquants de sous-traiter une grande partie des actions pour mener à bien leurs opérations d’extorsion et d’y acheter les ressources nécessaires (données personnelles, accès légitimes compromis, codes malveillants).
Si les montants des rançons peuvent varier fortement en fonction des rançongiciels employés et des victimes impactées, les bénéfices générés sont estimés entre quelques millions et plus d’une centaine de millions de dollars par groupe d’attaquants. Le coût de mise en œuvre de ces opérations est plus difficile à estimer, mais ne s’élève pas à plus de quelques dizaines, voire centaines de milliers de dollars sur l’ensemble de la période d’activité malveillantes.
Les rançongiciels représentant un risque non négligeable de rupture d’activité, de nombreuses assurances proposent de le couvrir. Cette couverture consiste souvent en ce que l’assureur paye tout ou partie de la rançon. Des sociétés se sont développées autour de ce paiement des rançons en proposant des services de négociation avec les attaquants. Aujourd’hui, les assurances incitent les victimes à payer la rançon qui s’avère souvent moins élevée que le coût d’un rétablissement de l’activité sans le recours à la clé de déchiffrement. Pour autant cette couverture n’empêche pas les victimes d’être attaquées de nouveau. Cette incitation à payer valide le modèle économique des cybercriminels et les amène déjà à augmenter les rançons et à multiplier leurs attaques.
Les attaques contre Altran et NorskHydro montrent le danger d’un impact systémique des rançongiciels sur un secteur d’activité qui, en ciblant des entreprises sous-traitantes ou clés du secteur, pourraient amener un jour à le déstabiliser. Les attaques contre le laboratoire forensique Eurofins et certains départements de police américains montrent également que les cybercriminels peuvent entraver des investigations judiciaires. Si l’objectif restait lucratif, il est tout à fait envisageable que des groupes cybercriminels (ou le crime organisé en général) s’appuient un jour sur ce moyen pour faire pression sur la justice.
La montée en puissance du cloud et le détournement de mises à jour automatiques de logiciels devraient marquer l’année 2020, selon BeyondTrust...