211service.com
Les sociétés d'antivirus devraient être plus ouvertes sur leurs découvertes de logiciels malveillants par le gouvernement
La semaine dernière, nous avons découvert un logiciel malveillant appelé Régin qui infecte les réseaux informatiques du monde entier depuis 2008. Il est plus sophistiqué que n'importe quel malware criminel connu, et tout le monde pense qu'un gouvernement est derrière lui. Aucun pays ne s'est attribué le mérite de Regin, mais il y a preuves substantielles qu'il a été construit et exploité par les États-Unis.
Ce n'est pas le premier malware gouvernemental découvert. GhostNet on pense qu'il est chinois. Octobre rouge et La tour sont considérés comme russes. Le masque est probablement espagnol. Stuxnet et Flamme viennent probablement des États-Unis. Tous ces éléments ont été découverts au cours des cinq dernières années et nommés par des chercheurs qui ont déduit leurs créateurs à partir d'indices tels que la cible du malware.
Je n'aime pas la métaphore de la cyberguerre pour l'espionnage et le piratage, mais il y a une sorte de guerre en cours dans le cyberespace. Les pays utilisent ces armes les uns contre les autres. Cela nous affecte tous non seulement parce que nous sommes citoyens de l'un de ces pays, mais parce que nous sommes tous potentiellement des dommages collatéraux. La plupart des types de logiciels malveillants répertoriés ci-dessus ont été utilisés contre des cibles non gouvernementales, telles que des infrastructures nationales, des entreprises et des ONG . Ces attaques sont parfois accidentel , mais souvent ils sont délibérer .
Pour leur défense, les réseaux civils doivent s'appuyer sur des produits et services de sécurité commerciaux. Nous nous appuyons en grande partie sur les produits antivirus de sociétés telles que Symantec, Kaspersky et F-Secure. Ces produits analysent en permanence nos ordinateurs, recherchent des logiciels malveillants, les suppriment et nous alertent dès qu'ils les trouvent. Nous attendons de ces entreprises qu'elles agissent dans notre intérêt et qu'elles n'omettent jamais délibérément de nous protéger d'une menace connue.
C'est pourquoi la récente révélation de Regin est si inquiétante. La première annonce publique de Regin remonte à Symantec , le 23 novembre. La société a déclaré que ses chercheurs l'étudiaient depuis environ un an, et a annoncé son existence car ils connaissaient une autre source qui allait l'annoncer. Cette source était un site d'information, The Intercept, qui décrit Regin et ses relations aux États-Unis le lendemain. Les deux Kaspersky et F-Secure ont rapidement publié leurs propres découvertes. Tous deux ont déclaré qu'ils suivaient Regin depuis des années. Les trois sociétés antivirus ont pu en trouver des échantillons dans leurs fichiers depuis 2008 ou 2009.
Alors pourquoi ces entreprises ont-elles toutes gardé Regin secrète pendant si longtemps ? Et pourquoi nous ont-ils laissés vulnérables pendant tout ce temps ?
Pour obtenir une réponse, nous devons démêler deux choses. Comme nous pouvons le dire, toutes les entreprises avaient ajouté des signatures pour Regin à leur base de données de détection bien avant le mois dernier. Le site Web de VirusTotal a une signature pour Regin à partir de 2011 . Les deux Sécurité Microsoft et F-Secure a également commencé à le détecter et à le supprimer cette année-là. Symantec protège ses utilisateurs contre Regin depuis 2013 , bien qu'il ait certainement ajouté la signature VirusTotal en 2011.
Entièrement séparément et apparemment indépendamment, toutes ces sociétés ont décidé de ne pas discuter publiquement de l'existence de Regin avant que Symantec et l'Intercept ne l'aient fait. Les raisons invoquées varient. Mikko Hyponnen de F-Secure a déclaré que spécifique clients lui ont demandé de ne pas parler des logiciels malveillants qui avaient été trouvés sur leurs réseaux. Fox IT, qui a été engagé pour supprimer Regin du site Web de la compagnie de téléphone belge Belgacom, n'a rien dit sur ce qu'il a découvert parce qu'il ne voulait pas interférer avec les opérations de la NSA/GCHQ .
Je suppose qu'aucune des entreprises n'a voulu rendre publique une image incomplète. Contrairement aux logiciels malveillants criminels, les logiciels malveillants de niveau gouvernemental peuvent être difficiles à comprendre. C'est beaucoup plus insaisissable et compliqué. Il est constamment mis à jour. Regin est composé de plusieurs modules—Fox IT l'a appelé un cadre complet de nombreuses espèces de logiciels malveillants, ce qui rend encore plus difficile de comprendre ce qui se passe. Regin a également été utilisé avec parcimonie, contre seulement quelques cibles sélectionnées, ce qui rend difficile l'obtention d'échantillons. Lorsque vous faites sensation dans la presse en identifiant un logiciel malveillant, vous voulez connaître toute l'histoire. Apparemment, personne n'avait l'impression d'avoir ça avec Regin.
Ce n'est pas une excuse suffisante, cependant. À mesure que les logiciels malveillants d'État deviennent plus courants, nous manquerons souvent de toute l'histoire. Et tant que les pays se battent dans le cyberespace, certains d'entre nous seront des cibles et le reste d'entre nous pourrait être assez malchanceux pour être assis dans le rayon de l'explosion. Les logiciels malveillants de niveau militaire continueront d'être insaisissables.
À l'heure actuelle, les sociétés antivirus sont probablement assises sur des histoires incomplètes concernant une douzaine de variétés supplémentaires de logiciels malveillants de niveau gouvernemental. Mais ils ne devraient pas. Nous voulons et avons besoin que nos éditeurs d'antivirus nous disent tout ce qu'ils peuvent sur ces menaces dès qu'ils les connaissent, et n'attendent pas que la publication d'un article politique les empêche de garder le silence.
Bruce Schneier est un technologue en sécurité. Son dernier livre est Menteurs et valeurs aberrantes : permettre à la société de fiducie de prospérer .