La semaine passée, Cory Doctorow s'énervait, sur Twitter, de découvrir que l'antivirus racheté par Symantec proposait désormais de miner de l'Ethereum (ETH), tout en prélevant une commission de 15 %.
« Si les utilisateurs ont activé Norton Crypto mais ne souhaitent plus utiliser la fonctionnalité, elle peut être désactivée en désactivant temporairement la "protection contre les falsifications" (qui permet aux utilisateurs de modifier l'installation de Norton) et en supprimant NCrypt.exe de votre ordinateur », précisait la société.
Pour autant, de nombreux utilisateurs témoignaient de difficultés à supprimer le programme de minage de la crypto-monnaie, et fulminaient sur les réseaux sociaux au motif que « Norton devrait DÉTECTER et éliminer le détournement de crypto-mining, et non pas installer le leur ».
KrebsonSecurity relève qu'Avira, qui avait été racheté par Norton l’an passé, est lui aussi désormais doté d'un cryptomineur pré-installé, que ses 500 millions d'utilisateurs et clients peuvent, tout comme ce serait le cas avec Norton, choisir d'utiliser, ou pas, en mode « opt-in ».
D'aucuns dénoncent le fait que cela coûtera plus cher en factures d'électricité, ainsi qu'en frais de transaction, que cela ne pourra jamais rapporter aux utilisateurs finaux.
Commentaires (42)
#1
Encore une raison de plus de virer ces bouses
#1.1
Depuis que je suis passé à Windows 10, je ne mets plus aucun antivirus, car celui intégré (Windows Defender) est efficace en plus d’être léger et sait se laisser oublier…
#1.2
Si c’est la même que sur win11, defender en mode offline vaut que dalle comparer à la détection online, qui fait du quasi 100% sur les menaces connus, même sur des samples vieux de près de 6 mois/1an…
A croire qu’yen a un qu’ils ne mettent volontairement pas à jour pour forcer à avoir la machine connectée aux potentielles menaces et à MS en permanence.
#1.3
Personnellement je suis avec Nod32 bien que je puisse bénéficier de Windows Defender et ça se passe très bien avec. Certes il est payant mais je n’ai jamais eu de soucis avec.
J’attends de voir le jour où Microsoft se servira de son AV pour faire du tracking ou pousser des saletés de ce style (minage crypto) dans son logiciel…
#1.4
Et qu’est ce qui vous dit que ça sera le cas ? Beau procès d’intention… J’attends le jour ou ESET fera comme Norton, et poussera un cryptomineur dans NOD32. Est ce que ma remarque vous paraît moins stupide ?
#2
WTF !?? Mais c’est quoi ce délire ? Quel rapport ils arrivent à imaginer entre un antivirus et du crypto-minage ?
Dans ce cas, allons jusqu’au bout ! Pourquoi Norton ne me permettrait pas de retoucher mes photos, d’écrire des documents et de lire mes films !?
Quelle moquette ont-ils fumé ?
#2.1
Rigole pas c’était plus ou moins le business model de Néro il y a quelques années, un bidule censé au départ uniquement graver des CD/DVD mais qui s’était mis au fil du temps à essayer de faire en plus tout et n’importe quoi (surtout n’importe quoi même) au point de peser un bon paquet de Go alors que ses équivalents freewares (genre Infrarecorder ou CDBurnerXP) accomplissaient sa tache de base aussi bien que lui en occupant à peine quelques dizaines de Mo maximum.
M’enfin qu’attendre d’autre de Symantec, ils défoncent tout ce qu’ils touchent … (je leur en veux toujours d’avoir ruiné l’excellent, à l’époque, et très utile Partition Magic, heureusement que le libre à pris le relai avec Gparted)
#3
Workaround: chopper un virus qui désactive Norton et Avira…
#4
Je comprends mieux pourquoi les antivirus nous bouffent toutes nos ressources depuis plus d’une décennie. Maintenant ils en ont juste fait un composant à part
#5
Pas mal de rapport en fait, les antivirus :
Du coup, ajoute à ça que ce sont des acteurs dont le business model est déjà largement basé sur la pré installation de leurs merdes sur les PCs neufs et qui savent qu’ils n’ont plus aucun avenir dans la vente directe de solutions (qui en 2022 va encore acheter sciemment une licence Avira/Norton … ?)
Le crypto-minage est en fait une opportunité assez logique d’ un point de vue business.
Après, oui, c’est dégueulasse. Mais c’est logique.
Je suppose que ces éditeurs vont peu à peu se transformer officiellement en crypto-miners déguisés pour les masses. « Grâce a Norton Thunasses, recevez un bon d’achat Amazon de 5€ tous les mois » (bon ça t’en coûte 10 en électricité mais chut).
#5.1
Je fais peut-être une erreur en faisant cela, mais je continue de payer mes licences annuelles de Kaspersky. Je n’ai jamais vraiment considéré Windows Defender comme un bon antivirus. Les comparateurs divers et variés le classent souvent un peu en retrait, mais ces comparateurs sont-ils objectifs, je ne sais pas.
Ceci dit je te rejoins sur un point, à chaque nouvelle mise à jour de Kaspersky je passe 5 minutes ensuite à désinstaller les crapwares (VPN, gestionnaire de MDP, etc.) qu’il installe de force.
#5.2
Pareil pour Kaspersky depuis 4 ans.
Surtout en fouillant bien, une licence multi poste un an ne coûte rien. Amazon par exemple.
Ça me permet de sécuriser un peu la famille, j’ai pas de TeamViewer illimité.
N’empêche que ce qui les protègent le mieux n’est pas l’antivirus mais leur comportement, c’est eux le meilleur antivirus.
De part mes lectures et expériences, Defender est top en gratuit.
Je parle sur le 10 en tout cas.
Il me les a même bien brisé lors de circonstances particulières
Quitte à ne pas payer pour un antivirus, autant ne rien installer d’autre et garder Windows Defender.
#6
Prochaine étape, intégrer un malware…allez osez, il n’y a plus qu’un pas à faire.
#7
Malheureusement Norton fait comme pas mal d’éditeurs de programme à succès dans les années 90/début 2000. En gros on développe un super programme qui fait super bien son taf (acdsee, winzip, neon burn, winamp et j’en passe). Cette fonctionnalité apparaît un jour de base dans l’OS ou devient obsolète de fait:
etc
Et avec tout ça, ben l’éditeur de programme test et ajoute des “fonctionnalités” en plus vs l’OS dans son programme qui devient d’un coup un énorme bloatware (pourquoi ajouter un visualiseur de films dans acdsee ?).
Bon, ben on est en train de vivre la même chose avec les anti-virus…. Surtout que norton est assez familier d’ajouter des trucs (les fameux optimisateurs qui cassent ton windows).
#8
Par opposition, je le considère comme un antivirus fiable depuis sa publication sur Windows 8, date à laquelle j’ai abandonné Kasperky. Aucun problème constaté depuis.
#9
j’ai toujours avast. Je me demande si c’est encore utile
#10
Je vois, c’est la continuité logique après l’ajout de la souscription à un VPN, le marketing ajoute désormais la cryptomonnaie.
Nombreux encore sont ceux persuadés du contraire et continuent d’utiliser ses Antivirus payants, inefficaces et qui même font baisser la sécurité, la sécurité des navigateurs s’étant largement améliorés au fil des années (comme le sandboxing et le blocage des cookies tiers) l’Antivirus est de plus en plus devenu un outil secondaire et Microsoft Defender convient le mieux pour cela chez les utilisateurs de Windows, en installant une simple extension comme uBlock Origin, il est déjà possible de bloquer une bonne partie des publicités malveillantes qui peuvent être des vecteurs d’attaques en navigant sur le web, le plus gros du travail est dédié à l’hygiène numérique.
#11
Peux-tu développer ?
#12
Bitdefender par ex, s’est adonné (ou pratique encore) à contourner les certificats HTTPS pour les remplacer par le leur, ce qui est une hérésie de comment HTTPS fonctionne, et qui leurs permet également d’espionner le trafique de ses clients.
Les Antivirus pour mobile, Android et iOS sont doublement inutiles, ses derniers n’ont de toute manières pas de privilèges suffisamment élevés pour faire quoi que de soit.
#12.1
Merci pour les précisions
Mais en quoi Windows Defender n’aurait-il pas le même problème ? Puisque c’est intrinsèque à la fonctionnalité recherchée (analyse du système), ce n’est pas lié au fait que l’exécutable vienne de Microsoft ou d’ailleurs. A partir du moment où il y a un antivirus, quelququ’il soit il y a forcément ce problème qui se pose selon moi.
La falsification de certificat HTTPS (certains l’appelle “substitution” pour l’acceptabilité) est en vogue partout. Kaspersky le pratique également par défaut, c’est désactivable (pour le moment, le jour où ça ne l’est plus je m’en vais). Au-delà de ça, de plus en plus de services SI d’employeurs s’y mettent. Dans certaines entreprise c’est carrément imposé par l’ANSSI ou le ministère du travail.
Cette pratique est redoutable et elle casse totalement la chaîne de confiance du web. On a encore de la chance que les FAI ne s’y mettent pas… Le jour où une loi l’imposera le modèle de sécurité tombera intégralement.
#12.2
Je vais me pencher sur ma console KSC et la config de mes clients Kaspersky :(
Merci pour l’info!
#12.3
C’est simple à vérifier : tu vas sur un site web bien connu (au hasard nextinpact
) et tu regarde les détails de la sécurisation de la connexion. Si c’est écrit “vérifié par Let’s Encrypt”, c’est bon. Si c’est écrit “vérifié par Kaspersky Anti-Virus Personnal Root Certificate” alors KAV fait de l’analyse en déchiffrant le contenu.
Kaspersky le fait par défaut depuis mars/avril 2021 même si le plugin pour le navigateur n’est pas installé. Pour le désactiver c’est dans les paramètres du réseau puis “Analyse des connexions chiffrées HTTPS”.
#12.4
Merci pour le nom exact afin de désactiver l’analyse de contenu HTTPS de Kas. Et le test à réaliser.
J’avais bataillé avec leur saloperie de plugin de navigateur il y a un moment déjà.
#12.5
#13
Pour Symantec EndPoint protection et McAfee proxy c’est aussi le cas ? Avec ça la DSI nous met à genoux des Core i5 / 32Go de RAM / SSD.
#13.1
En permanence ou pendant les phases d’analyse anti virus?
SEP ne me posait pas de souci il y a une douzaine d’années, avec une analyse en priorité basse, sur des pc avec hdd et core 2 duo, 4 go de ram. Du coup où il sont devenus mauvais ou il y a des configuration un peu trop barbares sur le serveur de gestion.
#13.2
C’est aléatoirement plusieurs fois par jour, mais quand on regarde les services actifs :
Et 7 Go de RAM occupés sans aucun logiciel ouvert…
#14
De rien
Parce que Defender est intégré au système, il n’a pas besoin de le faire.
Non justement, exemple, Google Play Protect (avec ses faiblesses) ne casse pas la sécurité by design de Android.
Je l’ignorais pour Kaspersky mais ça ne m’étonne pas, en fait j’ai assez récemment pris connaissance de cette pratique via une discussion sur Hacker News.
J’aimerais bien en connaître les raisons, si elles sont convaincantes, parce que ce n’est pas ainsi que fonctionne l’intégrité de HTTPS, de ce fait, rien n’empêche donc à imposer un faux certificat.
Oui je suis d’accord, mais mon côté optimiste me dit que ce n’est pas demain que je verrai une loi comme celle-ci, car j’ai du mal à voir comment elle pourrait s’imposer à tous, un bon VPN comme Mullvad ou IVPN correctement configuré pourrait peut-être ajouté un niveau de confiance dans le trafic chiffré, mais comme on n’y est pas, je ne fais que supposer sans pouvoir connaître de détails techniques, en tout cas, je ne le souhaite pas.
#15
Dans le cas que je connais bien, la raison invoquée par le DSI est qu’à partir du moment où une entreprise fournit un accès Internet à ses salarié, l’employeur a le statut de fournisseur d’accès, et a donc une obligation de conservation des logs pendant 3 ou 6 mois selon la nature de l’entreprise.
(Autant dire que ça concerne à peu près 100% des entreprises.)
La seconde raison qui vient achever toute objection à la mise en place d’un tel système tient au fait que l’entreprise en question est une OIV, et donc l’interception SSL (c’est une attaque de type man-in-the-middle) permet d’analyser en temps-réel le contenu web et d’écarter les trojans et virus avant même que ceux-ci n’arrivent dans le navigateur du poste du salarié. C’est ni plus ni moins que du Deep Packet Inspection. Et c’est apparemment la seule méthode considérée comme efficace par l’ANSSI dans le cas des OIV.
Les problèmes que ça apportent tiennent à la criticité des données stockées sur le serveur de l’entreprise qui s’occupe de ça : quelles sont les données conservées, qui y a accès, qui contrôle ceux qui y ont accès, quels gardes-fous pour éviter qu’un admin ne puisse consulter les mots de passe des salariés, usurper leur identité, etc.
#15.1
Merci de cette explication
#15.2
Que la raison soit bonne ou mauvaise, ce qui me choque dans mon entreprise qui pratique la DPI est que personne n’en a été informé.
Cela me dérange déjà pour les consultations personnelles de boîtes mail, ce qui est légalement permis. Perso, je n’utilise jamais mon PC pro pour quoi que ce soit de personnel, même pour me connecter au site du CE.
Cela devient grave quand des prestataires de service se connectent à l’extranet de leur entreprise et se voient ainsi espionnés.
#16
Ça ne justifie en aucun cas l’utilisation de certificats pour lire les connexions en https.
La seule chose qu’ils doivent, c’est l’identification d’un utilisateur à l’aide de l’adresse IP, du port d’origine en cas de NAT et l’horodatage.
Que je sache, les FAI ne trafiquent pas les certificats pour respecter leurs obligations légales.
Je ne cite pas le reste qui est compréhensible dans ce genre d’entreprises.
#16.1
Je suis bien d’accord avec ça, selon mes connaissances, l’obligation légale d’un FAI c’est de conserver les logs des URL, pas le contenu.
Même problème… Le RSSI a été informé… assez tardivement on va dire. Mais les salariés n’ont pas été informé de la mise en place d’une telle incursion potentielle dans leur vie privée.
On rappelle que, sauf disposition contraire dans le règlement intérieur, un salarié a un droit d’usage raisonné des outils informatiques et de la connexion Internet fournis par son employeur, tant que cela ne nuit pas à la productivité ni à la sécurité de l’entreprise.
Consulter ses e-mails, ses comptes bancaires, ses sites de e-commerce, voire même le site de sa mutuelle ou de la sécurité sociale, etc. ; tout ça est autorisé par le code du travail. Donc le nombre de mots de passes personnels et de données personnelles qu’un salarié est amené à saisir ou visualiser sur un PC pro peut être assez grand.
De mon côté depuis la mise en place de ce DPI (injustifié à mon sens), je ne consulte strictement plus rien du tout de non-professionnel depuis mon PC quand je suis dans les murs de mon employeur, et je recommande à tous mes collègues de faire de même. Excepté NXI, même si j’ai mis du temps à me résoudre à saisir mon MDP sur mon PC pro…
#17
Concernant OIV, il faudrait que je lise plus en détails, parce que là aussi j’ai des doutes en plus des problèmes que tu as déjà cité (temps de conservations, qui contrôle quoi, qui à accès etc), pour sois-disant une sécurité renforcé sur le trafic, on utilise des méthodes sérieusement teintés de piraterie… Intéressant concept, pour le moment, mon côté pessimiste me dit que cela cache des idées inavouables.
#18
Ma dernière utilisation de Nero Burning Rom doit remonter vers Windows XP / Windows Vista, mais une époque j’avais déjà lu sur des forums qu’il était devenu lourd et gonflé à tous les niveaux, m’enfin graver un CD ne me sert à rien depuis belles lurettes pour ma part.
#19
Pour windows defender, au niveau des stratégies sous w10, il est possible de monter en puissance comme scanner les attachements du client mail, plusieurs options qui méritent d’être explorées.
Eh puis ne perdez pas de vue que Microsoft et sa télémétrie est hyper informé des menaces, leur offre defender est puissante et bénéficie de leurs solutions en entreprise, la veille intelligente se propage
Stay safe…
#20
#20.1
Je n’ai pas la réponse officielle fiable à 100% que tu recherche.
En tout cas il ne s’agit pas de logs techniques (donc la charge CPU, RAM ou HDD c’est pas le sujet ici), mais bien des (méta)données identifiantes : le but est de savoir “qui” consulte “quoi”.
En cherchant “données de connexion” dans le moteur de recherche de NXI j’ai trouvé (beaucoup d’articles et) plusieurs faisceaux qui me font dire que les URL font partie des logs. Mais à aucun moment le mot “URL” n’apparaît.
Les sources :
https://www.nextinpact.com/article/29961/108596-la-conservation-generalisee-et-indifferenciee-metadonnees-epinglee-a-cjue-avec-nuance paragraphes #2 et #3 (l’exemple)
https://www.nextinpact.com/article/47917/conservation-donnees-connexion-pistes-gouvernement paragraphe #1 (les tableaux)
Mais une phrase remet en question ma conclusion :
https://www.nextinpact.com/article/45613/comment-conseil-detat-a-sauve-conservation-donnees-connexion paragraphe #5 :
Ces données, prises seules, « ne permettent pas, à elles seules, de connaître la date, l’heure, la durée et les destinataires des communications effectuées, non plus que les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée ».
Bref, je suis autant dans le flou que toi. Marc Rees saurait nous expliquer (ou nous rappeler) ça de manière simple je pense.
#21
Concernant ce paragraphe :
Elle remet effectivement en question, à confirmer quand je lis “destinataires des communications effectués” on parle aussi des serveurs des sites web auquel je me connecte pour accéder, et il suffirait d’assembler ses données pour tout savoir, comme en sécurité informatique, une date de naissance qui leak, c’est pas bien grave, mais plusieurs qu’on assemble ensuite, c’est là qu’un attaquant peut te cibler.
#21.1
Ben oui en fonction du browser tu laisses des traces dans la base de registre, tu as l’historique de tes visites, tu as les fameux cookies, tu as tout le contenu en cache les images chargées, tu dois t’intéresser au thème web browser forensics :)
Tu laisses des traces au niveau de ton disque, après tu peux utiliser une session privée puis utiliser tor et éviter qu’on te piste…
Il y a une théorie de l’empreinte numérique, chaque machine est unique
Pour t’aider un peu tu peux découvrir certains risques ici
#22
Concernant les sites de tests comme Cover Your Tracks, ils ne peuvent pas tester ton empreinte numérique de manière fiable parce que ses sites déterminent le caractère unique de ton empreinte numérique en se basant sur leurs propre base d’utilisateurs, ce qui ne tient pas compte de la majorité des utilisateurs réels et fournissent des statistiques inexactes, ils leurs manques aussi des données de test plus poussés comme la position du curseur à l’écran.