Ici toute la vérité et ce qu'ils ne vous ont pas dit sur l'affaire VirusTotal (propriété de Google) et la découverte de la société israélienne SafeBreach. Ce n'est pas comme cela a été commenté dans plusieurs médias, dont celui-ci se laissant emporter par des sources qui impliquaient quelque chose de différent. Par conséquent, de LxA, je m'excuse auprès de VT et j'essaierai de commenter ce qui s'est réellement passé, ce qui n'est pas aussi grave qu'il y paraissait.
Qu'est-ce qui était sous-entendu ?
Comme il a été laissé entendre à propos de cette affaire est que Violation de sécurité, était une prétendue faiblesse découverte par cette société dans VirusTotal, qui a également conduit à des informations sur des attaques présumées contre le service VT (qui n'en étaient pas telles), et même à des contacts présumés avec Google (propriétaire de VirusTotal via la filiale Chronicle Security) afin que correct ce problème. Cependant, Google a gardé le silence. Le motif? Vous comprendrez dans la section suivante...
Soi-disant, avec une licence mensuelle VirusTotal de 600 $, vous pourriez avoir accès à informations d'identification d'utilisateur sans fin en utilisant quelques recherches simples au sein de ce service. Parmi lesquels il peut y avoir des fichiers avec des données volées (adresses e-mail, noms d'utilisateur, mots de passe, identifiants d'accès aux réseaux sociaux, sites de commerce électronique, plateformes de streaming, services gouvernementaux en ligne, banque en ligne, et même mots de passe de portefeuilles privés de crypto-monnaie).
Selon Bar, l'un des chercheurs de SafeBreach, "Notre objectif était d'identifier les données qu'un criminel pourrait collecter avec une licence VirusTotal», une méthode qu'ils ont baptisée VirusTotal Hacking.
"Un contrevenant qui utilise cette méthode peut recueillir une quantité presque illimitée d'informations d'identification et d'autres données utilisateur sensibles avec très peu d'effort dans un court laps de temps en utilisant une approche sans infection. Nous l'appelons le cybercrime parfait, non seulement en raison du fait qu'il n'y a aucun risque et très peu d'efforts, mais aussi en raison de l'incapacité des victimes à se protéger de ce type d'activité. Une fois que les victimes ont été piratées par le pirate d'origine, la plupart ont peu de visibilité sur les informations sensibles téléchargées et stockées sur VirusTotal et d'autres forums. ».
Maintenant la vérité sur ce qui s'est passé avec VirusTotal
VirusTotal, basé à Malaga, a lancé un service appelé VT Intelligence en 2009 pour profiter de toutes les informations qui viennent à ce multi antivirus en ligne. Ce portail a été lancé comme une grande base de données pour les chercheurs du secteur de la cybersécurité et les entreprises dotées de services de sécurité, pouvant accéder à toutes ces données dans le but d'enquêter et d'améliorer la sécurité de leurs produits et utilisateurs.
Accès restreint à VT Intelligence
En d'autres termes, ni les utilisateurs disposant de la licence de 600 $ susmentionnée ni les autres cybercriminels ne pourraient accéder à ces données, et aucune entreprise ne pouvait accéder à VT Intelligence. Toute personne ayant accès passe par un processus de vérification pour vérifier que l'entreprise est digne de confiance et de bonne réputation, en plus d'avoir un cas d'utilisation approprié pour accéder à cette base de données.
Contenu et sources de la base de données
Cette base de données contient informations très diverses, avec des menaces de toutes sortes, des logiciels malveillants aux exploits avancés, en passant par les kits de phishing, les outils de piratage extraits de forums de piratage souterrains, le cardage, les journaux (enregistrements) et les fichiers avec des informations d'identification qui ont été exposés sur ces sites, etc.
Tout ça provient de diverses sources:
- Entreprises
- CERT
- Utilisateurs anonymes
- Via l'API de nombreux autres sites
- Etc
Rassurer les utilisateurs
Par conséquent, lorsque SafeBreach a obtenu l'un de ces fichiers avec des informations d'identification ou des journaux contenant des informations sensibles, c'est parce que que les données ont été compromises ou divulguées avant d'atteindre la base de données VT Intelligence. En d'autres termes, VirusTotal n'est pas la source d'où émanent ces données privées, mais plutôt une base de données intermédiaire entre les menaces qui ont permis d'extraire ces données et l'expérience SafeBreach.
Les entités ayant accès à VT Intelligent peuvent ainsi accéder à toutes ces informations pour mettre des solutions ou informez vos clients qu'ils peuvent avoir été touchés par ces cyberattaques ou fuites.
Conclusion
VirusTotal ne peut pas être utilisé comme source pour extraire des données sensibles comme le suggère SafeBreach. Ce sont des informations d'identification que la grande majorité ont déjà été modifiées lorsqu'il a été signalé qu'elles avaient été exposées. Et s'ils n'ont pas été modifiés, ils n'auront probablement pas beaucoup d'impact.
De plus, si vous n'atteignez pas VirusTotal, de la même manière qu'ils continueraient à être exposés sur les sites dont les chercheurs en cybersécurité les ont extraites.
La seule chose que SafeBreach a faite, à part créer tout ce tapage, c'est un exercice de réflexion sur ce qui se passerait si un attaquant présumé pouvait accéder à VT Intelligence.
Zéro drame !