il y a de forte chance que le PC infecté soit celui du concepteur,
Non. Sauf à être complètement teubé, quand tu développes un malware, tu ne le fais pas avec un antivirus actif (et tu accèdes à Virustotal via un proxy pour soumettre ton truc puis le bricoler jusqu'à ce qu'il passe sous le radar).
Concernant ce qu'il s'est passé (ce n'est pas particulièrement pour toi), je pense qu'il est important de lire l'analyse qu'a fait Kaspersky sur l'incident (c'est ici). L'aspect collaboration avec le KGB n'est pas abordé et honnêtement on s'en fout. Potentiellement, oui, potentiellement non.
Sur les faits, Kasperky a vu sur un PC (complètement vérolé) sur lequel a été lancé un full scan un truc qui ressemblait à un APT. Il a uploadé l'archive dans lequel se trouvait le truc pour analyse... Le truc a été analysé. Oups il y avait des trucs dans l'archive qui n'aurait pas du être dedans.
C'est le fonctionnement de n'importe quel antivirus un peu évolué du moment sur lequel la télémétrie n'est pas désactivé (dans le cas Kasperky, ils disent qu'elle ne l'était pas).
Microsoft fait à peu prèsPAREIL avec l'automatic sample submission. La seule différence c'est que si MS estime que le sample "peut contenir" (bien évidemment sans expliquer comment) des informations personnelles, il va te demander s'il peut uploader.
Après savoir si MS va contacter la NSA s'il détecte une nouvelle variante d'un APT Russe ...
Par contre, je pense que cette affaire a été un wakeup call pour rappeler qu'effectivement, il y a pas grand chose qui empêche un fabriquant d'AV de demander à uploader tous les fichiers dans lequel il y a la signature "top sicrête". Mais je ne pense pas cette histoire, à elle seule, justifie le bannissement prononcé au niveau européen. Il doit y avoir d'autres trucs (et pas que les whitelists).
[^] # Re: Espionnage russe
Posté par oinkoink_daotter . En réponse au journal Bashing Kaspersky. Évalué à 7.
Non. Sauf à être complètement teubé, quand tu développes un malware, tu ne le fais pas avec un antivirus actif (et tu accèdes à Virustotal via un proxy pour soumettre ton truc puis le bricoler jusqu'à ce qu'il passe sous le radar).
Concernant ce qu'il s'est passé (ce n'est pas particulièrement pour toi), je pense qu'il est important de lire l'analyse qu'a fait Kaspersky sur l'incident (c'est ici). L'aspect collaboration avec le KGB n'est pas abordé et honnêtement on s'en fout. Potentiellement, oui, potentiellement non.
Sur les faits, Kasperky a vu sur un PC (complètement vérolé) sur lequel a été lancé un full scan un truc qui ressemblait à un APT. Il a uploadé l'archive dans lequel se trouvait le truc pour analyse... Le truc a été analysé. Oups il y avait des trucs dans l'archive qui n'aurait pas du être dedans.
C'est le fonctionnement de n'importe quel antivirus un peu évolué du moment sur lequel la télémétrie n'est pas désactivé (dans le cas Kasperky, ils disent qu'elle ne l'était pas).
Microsoft fait à peu près PAREIL avec l'automatic sample submission. La seule différence c'est que si MS estime que le sample "peut contenir" (bien évidemment sans expliquer comment) des informations personnelles, il va te demander s'il peut uploader.
Après savoir si MS va contacter la NSA s'il détecte une nouvelle variante d'un APT Russe ...
Par contre, je pense que cette affaire a été un wakeup call pour rappeler qu'effectivement, il y a pas grand chose qui empêche un fabriquant d'AV de demander à uploader tous les fichiers dans lequel il y a la signature "top sicrête". Mais je ne pense pas cette histoire, à elle seule, justifie le bannissement prononcé au niveau européen. Il doit y avoir d'autres trucs (et pas que les whitelists).