Rencontre avec les chasseurs de pirates de Trend Micro

Chasser les virus, les codes malveillants, les attaques informatiques d’aujourd’hui et de demain, telle est la mission des laboratoires de recherche de Trend Micro. L’éditeur de Solution de Sécurité informatique a ouvert quelques-uns des secrets du Trend Labs à la rédaction de ZATAZ.com lors d’un voyage de presse au Philippines.

TLabs 06

C’est dans un immeuble cossu du centre de Manille, la capitale des Philippines, que la rédaction de zataz.com a pu rencontrer l’armée de l’ombre de Trend Micro. 1,200 ingénieurs et informaticiens qui agissent, 24 heures sur 24, pour le compte des clients du géant japonais de la sécurité informatique. La France fait partie des clients importants de l’éditeur. En 2010, par exemple, la société fondée par Jenny Chang, Steve Chang, Eva Chen prenait en main la sécurité informatique des ordinateurs des employés du Ministère de l’Éducation nationale (Académies, Lycées et collèges).

TLabs 12

C’est au 9ᵉ étage du Rockwell Business Center de Manille que nous avons pu découvrir le travail des informaticiens locaux. Première chose qui saute aux yeux, la jeunesse des « traqueurs ». Sur les 5.200 employés de Trend Micro (évoluant dans 11 pays), 1.200 travaillent aux Philippines. 59% ont entre 20 et 29 ans. Rassurant aussi, la proportion d’informaticiennes. Dans l’un des espaces de travail que nous avons pu visiter, la moitié du personnel était féminin. Mais ne vous y trompez pas. Elles sont certes très coquettes, elles n’en sont pas moins de redoutables chasseuses de pirates.

TLabs 11

Une ruche aux actions très bien huilées

S’il fallait comparer ce que nous avons pu voir lors de cette visite, le Trend Labs, les laboratoires techniques de Trend Micro, ressemble à une immense ruche ou soldats et ouvriers agissent pour une même cause : protéger les ordinateurs et serveurs de leurs clients. D’abord, il faut pouvoir rentrer dans cette ruche. Montrer patte blanche. Si les cartes d’accès, portes blindées et caméras sont très présents, difficile de faire abstraction des services de sécurité en chair et en os. La plupart, d’anciens militaires locaux. Ils gèrent les accès aux zones limitées. Autant dire que si vous ne possédez pas la bonne carte, l’accès à la zone supérieure vous sera interdit. Les employés sont contrôlés, eux aussi, à l’entrée et à la sortie de leur espace de travail. Bref, la sécurité des clients débute dès l’ouverture des portes.

TLabs 05

Dans le Trend Labs, une activité permanente. Sept jours sur 7, 24 heures sur 24, même les jours fériés (La rédaction était présente lors de la 117ᵉ fête nationale des Philippines, le 12 juin 2015) des salariés scrutent, analysent et tentent d’apporter une réponse aux attaques du moment. Des employés sortant des écoles informatiques du pays. Des niveaux bac +2 à bac +5 (équivalence française). Salaire de départ, 700 euros. Selon la Banque Mondiale, le salaire moyen dans le pays est de 200 euros.

TLabs 10

Les « chasseurs » gèrent des masses de spams, mais ce sont les ransomwares qui ont pris une véritable ascendance sur les autres malveillances. Trend Labs traite plus de 5 téraoctets de données par jour, soit l’équivalent de 5000 DVD. Sur cette masse d’information, 5 milliards de menaces sont bloquées chaque jour. Autant dire que les soldats du Global Threat Intelligence ont du pain sur la planche.

TLabs 02

Réception, action, réaction

Les laboratoires de Trend Micro sont divisés en sous-sections. D’abord l’équipe qui reçoit la menace. Lors de notre visite, un ransomwares venait de toucher des entreprises en Allemagne. Une fausse facture aux couleurs de DHL. L’équipe 1 analyse le courriel. Est-il vrai ? Le lien proposé est-il malveillant ? Cette pièce jointe mérite-t-elle de finir dans les mains de la seconde équipe ? Dans notre cas, oui. La seconde « team » prend en charge cette fameuse pièce jointe. Mission, décortiquer son code. Comprendre l’attaque pour mieux s’en prémunir. Les logiciels utilisés pour cela sont divers. D’abord, et le plus important, le cerveau humain.

TLabs 01

Les informaticiens du Trend Labs sentent bons les geeks, les passionnés. Au point de voir les yeux briller d’un des employés au moment de désassembler un code malveillant qui fait clignoter son ordinateur. Une machine dédiée aux test. PC qui ne sert… qu’à prendre des coups. Les autres « tools » sont des outils « secrets » (que nous ne pouvons vous montrer, NDLR). Ils permettent de tracer, traquer, analyser les codes malveillants. Les autres logiciels sont libres et connus. Ils permettent, par exemples, de désassembler un code, de virtualiser un environnement afin de suivre le comportement de l’ennemi. Une lutte sans merci qui continue dans les mains de la troisième « crew ». Cette dernière est en charge d’alerter les outils de l’éditeur, comme InterScan Virus Wall, de bloquer les IP servant de diffusion des spams, de téléchargement des codes pirates, …

TLabs 07

Le Global Threat Intelligence reçoit des centaines de demandes allant de l’analyse de menaces complexes, à la simple configuration d’un produit. Les informations qui s’affichent dans les écrans situées dans l’immense salle aigrement le nombre d’alertes en cours et la durée de leur traitement. Autant dire que le travail ne manque pas. Un exemple, les codes malveillants Rozena et BEDEP (backdoors avec keylogger intégré, NDR) auront fait sonner les curseurs du Trend Labs 10.031 fois rien qu’au premier trimestre 2015. Les ransomwares, plus de 16.000, dont la moitié de crypto-ransomwares. « Un véritable danger pour les entreprises, confirme Loïc Guézo en charge de Trend Micro en Europe du sud. Si les sociétés n’y prêtent pas garde, qu’elles ne possèdent pas de sauvegarde. Elles ne retrouveront plus jamais les informations perdues. » A moins de payer. ZATAZ, depuis le 1er janvier 2015, a reçu 1.684 courriels de lecteurs piégés par un crypto ransomware. 448 ont avoué avoir payé pour récupérer leurs biens chiffrés par un pirate. Un chiffre qui fait peur. 448 internautes ont bien voulu répondre. Combien d’autres ont préféré garder le silence ! Sur les 15.532 gestions de crise crypto-ransomware gérées par Trend Labs, 52% concernées des utilisateurs, 28% de grandes entreprises, 14% des PME/PMI.

Les attaques à l’encontre des mobiles sont la seconde inquiétude du Trend Labs. Imaginez, 5,4 millions d’attaques bloquées en mars 2015. Quasiment 1 million d’infiltrations, d’applications piégées en plus par rapport à décembre 2004. 48 % étaient des adwares ; 18% des voleurs de données ; 14% d’applications provoquant des achats abusifs (Payware).

crypto 2

Malveillants des 4 coins du monde

La situation géographique du Trend Labs n’est pas un hasard. Véritable charnière centrale d’un système d’alerte, Manille centralise les trois régions principales de l’éditeur. Il faut dire aussi que les Philippines peuvent veiller sur les pirates Russes. « Ils sont spécialisés dans la redirection du trafic, souligne Myla Pilao, et les services de paiement malveillants. La Chine, véritable professionnel des attaques de DDoS et l’installation de botnets. Le Brésil, SMS et mails de masses (Spamming, NDRL) ainsi que des services d’entrainements pour cyber criminels. » A noter que Trend Micro a mis en place, en Chine, une équipe d’ingénieurs spécialisés dans la recherche de 0day, des failles non publiques. De quoi espérer contrer les pirates avant que ces derniers n’agissent.

TLabs 03

Loïc Guézo en charge de Trend Micro en Europe du sud.

« Les entreprises doivent garder à l’esprit qu’elles peuvent être une cible, à n’importe quel moment, termine Ryan Flores, membre du Trend Micro Incident Response Team. Elles ne doivent surtout pas penser qu’elles sont trop petites pour les malveillants. » Vous voilà prévenus !

Maraming Salamat Po team Trend Labs !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: Windows Server 2003 : la guillotine tombe sur les mises à jour le 14 juillet | Data Security Breach

  2. Pingback: ZATAZ Magazine » La NSA se serait amusée avec les codes sources des antivirus du marché

  3. LinuxFreedom Reply

    Morceaux de trackers, ils tournent sous windows vista, on aura tout vu…

     » https://www.zataz.com/wp-content/uploads/TLabs-02.png « 

  4. Pingback: ZATAZ Trend Micro : Des données clients piratées par un employé - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.