Amaelle Guiton đź’ľ
Follow

Petite anecdote au passage pour les geeks, sur un point qui n'est pas dans le papier (je ne voulais pas noyer mes lecteurs, c'est déjà assez dense comme ça ^^) :

Quand croise un antivirus Kaspersky sur une machine, au lieu de réécrire la zone d'amorçage (MBR) avec le malware, il réécrit les 10 premiers secteurs du disque avec des zéros. Comme d'autres, je me suis évidemment demandé pourquoi.

1/n

· Web · 0 · 6 · 4

En lisant ce post labsblog.f-secure.com/2017/06/ j'ai d'abord cru que c'Ă©tait double peine pour les clients Kaspersky.

Sauf que dans le rapport très détaillé du Cert-FR (merci l'@ANSSI) je lis que dans le second cas, "le système est récupérable à condition de reconstruire la table de partition". Autrement dit, même si les données sont toujours chiffrées, c'est pas double peine mais "moindre peine".

2/n

Du coup, je vérifie auprès d'un de mes contacts (un vrai de vrai expert) que j'ai bien compris. Il confirme.

Là, vous imaginez ce qui se passe d'abord dans ma petite tête : "Et si c'était pas une vendetta, mais une manière de taper moins fort les clients de Kaspersky ?"

Réponse de mon contact, en mode : c'est peut-être juste pour éviter que l'antivirus détecte un truc super chelou...

3/n

Or c'est justement ce qu'explique Raiu de Kaspersky sur Twitter :

twitter.com/craiu/status/88548

Et en fait, cette histoire a pris suffisamment d'ampleur pour que Kaspersky se fende carrément d'un post sur le sujet :

securelist.com/no-free-pass-fo

Voilà comment un détail ultra technique peut déchaîner les spéculations géopolitiques.

Vous avez le choix entre le rasoir d'Ockham et le mode conspi ;)

4/4

@amaelle_g euh, l'idée que c'est pour pas que kaspersky detecte un truc chelou, ne tiens pas debout. L'ordinateur est inutilisable avec le mbr réécrit.
Le fait que les données des utilisateurs de kaspersky soient plus facilement récupérables, compromet clairement kaspersky en même temps qu'il les sert.
La question est plutĂ´t : qui veut soutenir ou compromettre kaspersky? Ce n'est certainement pas kaspersky eux mĂŞmes

@slim Ce que dit Kaspersky, c'est que les 10 premiers secteurs sont "wipés" pour éviter que le malware ne soit détecté trop tôt. Je l'avoue humblement, je n'ai ni les moyens ni la compétence de fact-checker ça ;) En revanche, il y a un autre point validé par d'autres boîtes et l'Anssi : quand l'infection du MBR échoue -> wipe (et pas seulement quand il y a du Kaspersky). C'est un mécanisme de repli. 1/2

@slim De ce que je comprends, ça ne change rien pour les données (elles sont chiffrées dans tous les cas) mais la machine elle-même est + facile à restaurer.

Tout ça pour dire que je suis à ce stade incapable de tirer des conclusions définitives de cette histoire. Mais l'hypothèse qui a trotté dans ma petite tête, sur le moment, était moins "soutien ou compromission" que "atténuation dans la zone de chalandise" ;) 2/2

@slim (Parce que dans le genre "contexte qui pousse au biais de confirmation", le fait que les produits Kaspersky aient été bannis d'Ukraine, comme Yandex, VKontakte ou le concurrent russe de M.E.Doc, ça se pose là...)

@amaelle_g je viens de lire le blog post. Apparemment kaspersky systèm watcher detecte l'activité suspecte et restore le mbr avant que le système redémarre. L'explication pourrait tenir debout dans ce cas

Sign in to participate in the conversation
mstdn

mstdn.fr est une instance lancée et administrée par des sysadmins expérimentés avec comme objectif qu'elle accueille des dizaines de milliers d'utilisateurs de manière pérenne. Plus d'informations dans ce billet de blog : https://www.libre-parcours.net/post/mstdn-fr-notre-pierre-a-l-edifice-mastodon