6 Oct 2017

Nous protégeons nos utilisateurs de manière agressive – et nous en sommes fiers

Technologie

Un nouveau reportage sensationnaliste a été publié aujourd’hui, et affirme entre autres choses que Kaspersky Lab aide une certaine agence de renseignements à mettre la main sur des données sensibles d’une autre agence de renseignement par le biais de l’ordinateur domestique d’un entrepreneur. L’une des autres accusations de l’article est que nous sommes très agressifs dans nos méthodes de chasse contre les nouveaux malwares.

La première déclaration ressemble au script d’un mauvais film , et bien entendu, tout cela a été révélé par des sources anonymes (quelle surprise !). Je n’ai pas d’autre chose à dire que la déclaration officielle.

Cependant, je ne pourrais pas être plus d’accord avec la seconde affirmation selon laquelle nous sommes agressifs dans notre chasse aux malwares. Nous détectons de manière agressive et absolue toutes les infections de malwares quelle que soit leur source, et ce depuis 20 ans. C’est pour cela que nous avons constamment les meilleures notes aux tests de détection de malwares indépendants de tiers. Nous ne nous excusons pas d’être agressifs dans la bataille contre les malwares et les cybercriminels – vous ne devriez pas vous à attendre à moins que cela. Point barre.

Alors que nous protégeons nos clients, nous vérifions la santé de l’ordinateur, comme n’importe quel autre vendeur de sécurité. Cela fonctionne comme un passage aux rayons X : la solution de sécurité peut presque tout voir pour identifier des problèmes, mais ne peut pas attribuer ce qu’elle voit à un utilisateur spécifique. Laissez-moi expliquer un peu plus ce que nous faisons quand nous ne protégeons pas nos utilisateurs des cyberattaques :

Ce que nous faisons

Nous développons chaque jour de nouveaux mécanismes de détection avancée et heuristique qui signalent les malwares supposés et les envoient à une extrémité d’apprentissage machine pour une analyse automatique. Ces procédés heuristiques sont conçus afin de ne se focaliser que sur un type de données particulier : un type de données qui a des caractéristiques pouvant mettre en danger la santé de l’ordinateur. Et le risque des données, c’est tout ce dont le procédé heuristique s’inquiète.

Nous nous concentrons sur les cybermenaces haut profil qui risquent de toucher de nombreux utilisateurs. Ces menaces sont habituellement très sophistiquées et peuvent être composées de plusieurs composants qui n’ont pas forcément l’air malveillants au premier coup d’œil. Veuillez lire notre dernier récit sur ShadowPad à titre d’exemple.

Nous chassons et analysons toutes sortes de menaces. Nous n’en ignorons aucune. Nous investissons aussi beaucoup de ressources dans des systèmes qui protègent nos utilisateurs des malwares, rendent leurs ordinateurs plus sûrs et leur permettent de profiter de leur expérience d’utilisateur au lieu de s’inquiéter.

Suite à ce dernier article, je veux insister sur ce qui suit : si nos technologies détectent quoi que ce soit de louche et que cela est identifié comme un malware, en quelques minutes, tous nos clients, qui qu’ils soient et où qu’ils se trouvent, reçoivent une protection contre cette menace. Dans les cas les plus sérieux comme les épidémies de malwares globaux comme WannaCry ou les plate-formes de cyberespionnage comme Equation – nos chercheurs analysent la menace en profondeur et publient la recherche avec des indicateurs de danger ouvertement, pour que non seulement nos clients, mais aussi tous les autres utilisateurs et nos collègues de l’industrie de la cybersécurité puissent apprendre comment se protéger contre la nouvelle menace. La sécurité des clients est notre mission et nous sommes engagés pour les protéger contre tous les types de cybermenaces quel que soit leur but ou leur origine. Cette approche est la base de notre entreprise et c’est ce pour quoi les utilisateurs nous paient.

C’est la seule et uniquement manière dont nous traitons les cybermenaces. Pour moi, les nouvelles allégations me donnent l’impression que quelqu’un a regardé le processus que nous suivons pour traiter une menace et a ajouté des détails fictifs ; et paf, le script d’un nouveau film pourri est prêt.

Ce que nous ne faisons pas

Un grand pouvoir est synonyme de grandes responsabilités. Nous ne trahissons jamais la confiance que nous octroient nos utilisateurs. Si nous le faisions, ne serait-ce qu’une fois, cela serait immédiatement remarqué par l’industrie et ce serait la fin de notre activité – à juste titre.

Pour comprendre pourquoi cela serait impossible pour Kaspersky Lab ou toute autre société de sécurité réputée, il faut comprendre comment fonctionne l’industrie de la cybersécurité. Dans notre industrie, il y a deux types de personnes : celles qui font des actions offensives : cracker des logiciels, créer des outils d’espionnage, des exploits et – dans les cas les plus extrêmes – aider les gouvernements par des efforts d’espionnage.

Ensuite, il y a des gens qui se battent pour les utilisateurs, prennent leur parti, les protègent des attaques, créent des logiciels pour défendre les ordinateurs et causent toutes sortes de déboires aux agences d’espionnage.

Il y a une différence fondamentale qui s’exprime de nombreuses manières : de ce qui est considéré éthique par une catégorie ou l’autre à la réputation et la séparation du bien et du mal.

Depuis 20 ans, KL se bat pour ses utilisateurs. Il a lancé de nombreuses technologies comme l’apprentissage machine et la sécurité cloud, créé des produits de sécurité qui font partie des meilleurs au monde, et s’est efforcé de n’engager QUE des personnes qui respectent les normes éthiques les plus élevées.

Tous nos experts jugeraient qu’il n’est absolument pas éthique d’abuser de la confiance des utilisateurs pour permettre à un gouvernement d’espionner. Même si un ou deux personnes avec de telles intentions parvenaient à infiltrer l’entreprise, il y a des douzaines de stratégies technologiques et d’organisation pour mitiger le risque. Il y a également plus de 3 000 personnes qui travaillent à Kaspersky Lab, et quelqu’un aurait remarqué quelque chose. On ne peut pas le cacher à tout le monde.

Maintenant, la partie compliquée.

Même si nous avons une équipe de sécurité internet et que nous exécutons des programmes de chasse aux erreurs, nous ne pouvons pas donner une garantie à 100 % qu’il n’y a pas de problèmes de sécurité dans nos produits : aucun vendeur de logiciels de sécurité ne peut faire cela ! Les logiciels sont créés par des personnes et les personnes font des erreurs : on ne peut pas l’éviter.

À présent, supposons que ce que nous avons signalé est vrai : que les hackers russes ont exploité une faille dans nos produits installés sur le PC de l’un de nos utilisateurs, et que les agences gouvernementales chargées de protéger la sécurité nationale le savaient. Pourquoi ne nous ont-elles rien dit ? Nous réparons les failles les plus sévères en quelques heures, alors pourquoi ne pas rendre le monde un peu plus sûr en nous signalant la vulnérabilité ? Je ne trouve pas de justification éthique au fait de ne pas le faire.

Au bout du compte, je ne peux pas me sortir de la tête une pensée troublante : peu importe les excellentes mesures et technologies de sécurité dont l’on dispose, la sécurité de millions de personnes peut être compromise par la plus vieille menace au monde : une clé USB à 5 € et un employé malveillant.