Géopolitique, groupes de cybercriminels russes, CrowdStrike, EDR… Les experts de Sécurité Off ont profité de la pause estivale pour discuter longuement avec Boris Sharov, Directeur général de Doctor Web en Russie. Entretien exclusif.
Quelles évolutions de la cybercriminalité constatez-vous ?
Tout d’abord, nous constatons une influence très sérieuse de la situation géopolitique sur le paysage des cybermenaces. Cela se fait particulièrement sentir en Russie, dans le contexte du conflit armé avec l’Ukraine. Nous observons une augmentation très importante des attaques sophistiquées (que beaucoup appellent APT) contre les institutions gouvernementales et scientifiques russes. De plus, comme la part des utilisateurs de Windows en Russie diminue constamment, nous constatons que les cybercriminels déplacent leur attention vers les systèmes Linux. Cette famille de systèmes d’exploitation devient de plus en plus ciblée.
Tous les éléments de l’infrastructure des logiciels libres sont également vulnérables aux attaques. Désormais, l’utilisation de tout dépôt public, ainsi que de GitHub, doit être accompagnée d’une vérification minutieuse des modules téléchargés, car nous constatons de plus en plus d’infections à ce niveau. L’intérêt croissant des utilisateurs pour le secteur financier, y compris pour les investissements, a immédiatement trouvé un écho dans le milieu criminel. Outre une augmentation très notable du phishing, qui attire les utilisateurs imprudents vers des sites frauduleux, l’intérêt pour les cours d’éducation financière est activement exploité, avec des programmes malveillants proposés sous couvert d’applications correspondantes.
Il ne faut pas non plus oublier les types traditionnels de crimes liés à l’extorsion. Nous n’observons aucune amélioration dans ce domaine ; au contraire, la généralisation du travail à distance a conduit à ce que la grande majorité des attaques passent désormais par le piratage de l’accès à distance et la suppression des outils de protection sur les serveurs et ordinateurs ciblés.
Quel impact a eu selon vous le démantèlement de certains groupes de ransomwares comme LockBit ?
Cela n’a aucun impact significatif sur la situation globale des ransomwares. Certains disparaissent, d’autres apparaissent. Aucun membre du groupe LockBit n’a été arrêté. De plus, les organisateurs de LockBit peuvent facilement gérer plusieurs programmes de rançongiciels parallèles, ce qui ne peut être exclu. Ainsi, il ne serait pas du tout surprenant qu’ils continuent à opérer sous une autre marque.
Que pensez-vous de l’affaire CrowdStrike ?
En ce qui concerne CrowdStrike, l’incident a démontré à quel point le monde moderne dépend des technologies et à quel point de tels incidents peuvent facilement survenir, affectant divers domaines d’activité. Malheureusement, il est difficile de prévoir de tels événements. On ne peut que tenter de s’y préparer afin, sinon de les éviter, du moins de minimiser les dégâts possibles. Par exemple, en mettant en place des systèmes redondants pour les systèmes informatiques critiques, bien que cela puisse être très coûteux et inaccessible à de nombreuses organisations. Heureusement, la Russie a regardé indifféremment ce qui se passait dans le monde, car grâce aux sanctions, ses utilisateurs n’ont pas été victimes de l’irresponsabilité flagrante des « acteurs majeurs » dans le domaine de la sécurité informatique.
Pourquoi Dr.Web ne propose pas d’EDR, pourquoi ?
On peut répondre très simplement : cela ne nous est jamais venu à l’esprit, car avec nos propres technologies de protection contre les attaques utilisant du code malveillant—technologies qui existaient depuis plus de 20 ans au moment de l’apparition du concept d’EDR—nous avons toujours suivi notre principe fondamental : le code malveillant doit être stoppé par l’antivirus sans consulter l’utilisateur ni le distraire par des questions auxquelles il ne peut pas répondre de manière compétente. En quelque sorte, l’EDR était une réaction à l’incapacité de certains antivirus à détecter un pourcentage acceptable de nouvelles menaces avec des technologies traditionnelles, ce qui a conduit à l’adoption de technologies de surveillance qui, en elles-mêmes, ne faisaient pas grand-chose, mais permettaient de déterminer plus ou moins précisément les raisons d’une attaque réussie. Notre entreprise s’est concentrée sur le développement de technologies de détection comportementale capables de compenser l’insuffisance de la détection par signature. Par conséquent, plusieurs de nos produits peuvent être bien intégrés dans les systèmes EDR—comme Dr.Web Katana, qui offre des avantages supplémentaires en matière de détection non-signature, et le service Dr.Web FixIt, qui permet de mener une enquête approfondie sur tout incident où les moyens traditionnels de protection antivirus n’ont rien trouvé.
Quels sont les impacts pour Doctor Web de la guerre en Ukraine ?
Je ne touche qu’au côté business de la situation. Nous sommes très heureux de ne pas avoir consacré de temps et d’argent à pénétrer des marchés délibérément hostiles comme ceux des États-Unis, du Royaume-Uni et d’autres. Le changement du paysage géopolitique a donné des impulsions supplémentaires à la croissance de notre entreprise. Nous constatons maintenant une forte demande pour nos technologies, tant en Russie qu’en Asie et en Afrique, ce qui est très agréable pour nous.