A propos de la collecte des données dans le cadre de l'utilisation de Kaspersky Security Network
En acceptant la Déclaration de Kaspersky Security Network, vous acceptez de transmettre automatiquement les informations suivantes :
Si la case Activer Kaspersky Security Network est cochée alors que la case Activer le mode étendu du KSN est décochée, les informations suivantes sont transmises :
adresse Internet de la page d'origine du passage à l'adresse Internet à analyser ;
adresse Internet faisant l'objet de la requête sur la réputation ;
version du protocole utilisé pour la connexion avec les services de Kaspersky ;
identifiant des bases antivirus ;
identifiant de la tâche d'analyse qui a détecté la menace ;
identifiant du sous-système à l'origine de la requête ;
identifiant du protocole de connexion et numéro du port utilisé ;
identifiants des mises à jour installées ;
nom et identifiant de la menace détectée conformément à la classification de Kaspersky ;
clé publique du certificat ;
type et version premium de l'application Kaspersky Endpoint Security ;
hash (SHA256) du certificat utilisé pour signer l'objet analysé ;
hash du fichier analysé (MD5, SHA2-256 et SHA1) et des modèles de fichier (MD5).
Si en plus de la case Activer Kaspersky Security Network vous cochez la case Activer le mode étendu du KSN, les informations suivantes sont envoyées en plus :
Fichiers exécutables et non exécutables, ou une partie de ceux-ci, transmis afin d'éviter des faux positifs.
Le transfert porte sur les informations suivantes qui figurent dans les rapports relatifs à l'activité des applications :
adresses Internet et adresses IP contactées par l'application ;
adresses Internet et adresses IP d'origine du fichier exécuté ;
date et heure de début et de fin de la durée de validité du certificat, si le fichier envoyé possède une signature numérique, date et heure de la signature, nom de l'autorité de certification, informations relatives au titulaire du certificat, empreinte et clé publique du certificat ainsi que leurs algorithmes de calcul, numéro de série du certificat ;
titres des fenêtres du processus ;
identifiant des bases antivirus, nom de la menace détectée conformément à la classification de Titulaire des droits ;
noms et chemins d'accès aux fichiers auxquels le processus a accédé ;
noms des clés du registre, ainsi que leurs valeurs, auxquelles le processus a accédé ;
nom du compte utilisateur sous lequel le processus a été lancé ;
nom, taille et version du fichier à envoyer, sa description et ses sommes de contrôle (MD5, SHA2-256, SHA1), identifiant du format, nom de son éditeur, nom du produit associé au fichier, chemin d'accès complet au fichier sur l'Ordinateur et code du modèle de chemin, date et heure de création et de modification du fichier ;
informations relatives à la licence de l'application, identifiant de la licence, son type et la date d'expiration ;
sommes de contrôle (MD5, SHA2-256, SHA1) du nom de l'Ordinateur sur lequel le processus est lancé ;
heure locale de l'Ordinateur au moment du transfert des informations.
Autres informations diverses transmises :
adresses Internet et adresses IP de la ressource Internet sollicitée, informations relatives au fichier et au client Internet qui a contacté la ressource, nom, taille, sommes de contrôle (MD5, SHA2-256, SHA1) du fichier, chemin d'accès complet à celui-ci et code du modèle de chemin d'accès, résultat de la vérification de sa signature numérique et son état dans KSN.
En cas de détection d'un objet potentiellement malveillant, les informations relatives aux données dans la mémoire des processus sont transmises : éléments de la hiérarchie des objets système (ObjectManager), données de la mémoire UEFI BIOS, noms des clés de registre et leurs valeurs.
Pages Web et messages électroniques contenant des objets suspects et malveillants.
Version du composant de la mise à jour de l'application, nombre d'arrêts sur échec du composant de mise à jour de l'application lors de l'exécution des tâches de mise à jour après le fonctionnement du composant, identifiant du type de tâche de mise à jour, nombre d'échecs de tâches de mise à jour du composant de mise à jour de l'application.
Données relatives aux erreurs survenues lors du fonctionnement des composants de l'application : identifiant de l'état de l'application, type et code de mise à jour, ainsi que l'heure de l'occurrence, identifiants du composant, du module et du processus du produit dans lequel l'erreur a eu lieu, identifiant de la tâche ou de la catégorie de mise à jour lors de laquelle une erreur s'est produite, journaux des pilotes utilisés par l'application (code d'erreur, nom du module, nom du fichier source et ligne sur laquelle l'erreur s'est produite), identifiant de la méthode de détection d'une erreur dans le fonctionnement de l'application, nom du processus qui a lancé l'interception ou l'échange de trafic ayant provoqué l'erreur dans le fonctionnement de l'application.
Données relatives au plantage du système (BSOD) : indice de l'apparition du BSOD sur l'Ordinateur, nom du pilote qui a provoqué le BSOD, adresse et pile de la mémoire dans le pilote, indice de la longueur de la session du système d'exploitation avant le BSOD, pile de la mémoire de chute du pilote, type de dump de mémoire conservé, indice que la session du système d'exploitation avant le BSOD avait duré plus de 10 minutes, identifiant unique du dump, date et heure du BSOD.
Données sur les mises à jour des bases antivirus et des composants de l'application : noms, dates et heures des fichiers d'index chargés suite à la dernière mise à jour et à charger dans la mise à jour en cours, ainsi que la date et l'heure de la fin de la dernière mise à jour, noms des fichiers des catégories mises à jour et leurs sommes de contrôle (MD5, SHA2-256, SHA1).
Identifiant de la tâche d'analyse qui a détecté la menace.
Informations de vérification de l'authenticité des certificats qui signent les fichiers : empreinte du certificat, algorithme de calcul de la somme de contrôle, clé publique et numéro de série du certificat, nom de l'autorité de certification, résultat du contrôle du certificat et identifiant de la base de certificats.
Informations relatives à la version du système d'exploitation installée sur l'Ordinateur et aux paquets de mises à jour installés, version, rédaction et paramètres du mode de fonctionnement du système d'exploitation, version et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier du noyau du système d'exploitation.
Informations sur l'exécution du retour à l'état antérieur aux actions du programme malveillant : données relatives au fichier, activité soumise à la tâche (nom du fichier, son chemin d'accès complet, sa taille et les sommes de contrôle (MD5, SHA2-256, SHA1)), données sur les actions réussies ou non au niveau de la suppression, du changement de nom et de la copie des fichiers et de la restauration des valeurs dans le registre (nom des clés du registre et leurs valeurs), informations sur les fichiers système modifiés par le programme malveillant avant et après le retour à l'état antérieur.
Informations sur l'exécution de l'émulation du fichier exécutable : taille du fichier et ses sommes de contrôle (MD5, SHA2-256, SHA1), version du composant d'émulation, profondeur de l'émulation, vecteur des caractéristiques des blocs logiques et des fonctions à l'intérieur des blocs logiques obtenu lors de l'émulation, données issues de la structure de l'en-tête PE du fichier exécutable.
Informations sur la date d'installation et d'activation de l'application sur l'Ordinateur : type de licence installée et sa durée de validité, identifiant du partenaire qui a vendu la licence, numéro de série de la licence, type d'installation de l'application sur l'ordinateur (installation initiale, mise à jour, etc.), indice de réussite de l'installation ou numéro de l'erreur d'installation, identifiant unique d'installation de l'application sur l'Ordinateur, type et identifiant de l'application à l'aide de laquelle la mise à jour est réalisée, identifiant de la tâche de mise à jour.
Informations relatives aux modules de l'application à charger : nom, taille et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier du module, son chemin d'accès complet et code du modèle de chemin d'accès, paramètres de la signature numérique du fichier du module, date et heure de création de la signature, nom du sujet et de l'organisation qui ont signé le fichier du module, identifiant du processus dans lequel le module a été chargé, nom du fournisseur du module, numéro de position du module dans la file de chargement.
Informations relatives aux fichiers téléchargés par l'Utilisateur : URL et adresses IP depuis lesquelles le téléchargement a eu lieu, pages du téléchargement, identifiant du protocole de téléchargement et numéro du port de connexion, indice de caractère malveillant des adresses, attributs et taille du fichier ainsi que ses sommes de contrôle (MD5, SHA2-256, SHA1), informations sur le processus qui a chargé le fichier (sommes de contrôle (MD5, SHA2-256, SHA1), date et heure de création et d'association, indice de présence dans le démarrage automatique, attributs, nom des compacteurs, informations relatives à la signature, indice du fichier exécutable, identifiant du format, entropie), nom du fichier, chemin d'accès au fichier sur l'Ordinateur, signature numérique du fichier et informations sur l'exécution de la signature, adresse Internet où a eu lieu la détection, nombre de scripts suspects ou malveillants sur la page et informations sur les requêtes http réalisées et les réponses obtenues.
Informations sur les applications lancées et leurs modules : données sur les processus exécutés dans le système (identifiant du processus dans le système (PID), nom du processus, données relatives au compte utilisateur sous lequel le processus a été lancé, données relatives à l'application et à la commande qui a lancé le processus, ainsi que l'indice de confiance de l'application ou du processus, chemin d'accès complet aux fichiers du processus et ligne de commande de lancement, niveau d'intégrité du processus, description du produit auquel se rapporte le processus (nom du produit et données relatives à l'éditeur), données relatives aux certificats numériques utilisés et informations indispensables à la vérification de leur authenticité ou données relatives à l'absence de signature numérique du fichier), informations sur les modules chargés dans le processus (nom, taille, type, date de création, attributs, sommes de contrôle (MD5, SHA2-256, SHA1), chemin d'accès), informations de l'en-tête des fichiers PE, nom du compacteur (si le fichier était compacté).
Informations sur l'ensemble des mises à jour installées ainsi que sur l'ensemble des dernières mises à jour installées et/ou supprimées, type d'événement ayant provoqué l'envoi des informations relatives aux mises à jour, durée écoulée depuis l'installation de la dernière mise à jour, informations relatives aux bases antivirus téléchargées au moment de la remise des informations.
Informations sur le dernier redémarrage en échec du système d'exploitation : nombre de redémarrages en échec depuis l'installation du système d'exploitation, données relatives au crash du système (code et paramètres de l'erreur, nom, version et somme de contrôle (CRC32) du module ayant entraîné l'erreur dans le fonctionnement du système d'exploitation, adresse de l'erreur comme déplacement dans le module, sommes de contrôle (MD5, SHA2-256, SHA1) du vidage du système).
Informations sur l'application du Titulaire des droits : version complète, type, version linguistique et état du fonctionnement de l'application utilisée, version des composants installés de l'application et état de leur fonctionnement, données relatives aux mises à jour installées de l'application, ainsi que la valeur du filtre TARGET, version du protocole utilisé pour la connexion aux services du Titulaire des droits.
Informations sur les objets analysés : groupe de confiance attribué dans lequel le fichier est placé et/ou hors duquel il est déplacé, cause du placement du fichier dans cette catégorie, identifiant de la catégorie, informations relatives à la source des catégories et à la version des bases de catégories, indice de la présence dans le fichier d'un certificat de confiance, nom de l'éditeur du fichier, version du fichier, nom et version de l'application dont le fichier fait partie.
Informations sur les fichiers et les adresses Internet analysés : sommes de contrôle du fichier analysé (MD5, SHA2-256, SHA1) et profils de fichier (MD5), taille du profil, type de menace détectée et son nom conformément à la classification du Titulaire des droits, identifiant des bases antivirus, adresse Internet pour laquelle la réputation est sollicitée, adresse Internet depuis laquelle l'accès à l'adresse Internet à analyser a eu lieu, identifiant du protocole de connexion et numéro du port utilisé.
Informations sur le processus à l'origine de l'attaque contre l'auto-défense de l'application : nom et taille du fichier du processus, ses sommes de contrôle (MD5, SHA2-256, SHA1), chemin d'accès complet à celui-ci et modèle de chemin, date et heure de création et de configuration du fichier du processus, indice de fichier exécutable, attribut de fichier du processus, informations relatives au certificat utilisé pour signer le fichier du processus, code du compte utilisateur sous lequel le processus a été lancé, identifiant des opérations réalisées pour accéder au processus, type de ressource à partir de laquelle l'opération a été réalisée (processus, fichier, objet du registre, fenêtre de recherche à l'aide de la fonction FindWindow), nom de la ressource depuis laquelle l'opération est exécutée, indice de réussite de l'opération, état du fichier du processus et sa signature dans KSN.
Informations sur le fonctionnement des modules de protection : versions complètes des composants, code de l'événement qui a rempli la file des événements et nombre de ces événements, nombre total de débordements de files d'événement, informations sur le fichier du processus à l'origine de l'événement (nom du fichier et chemin d'accès à celui-ci sur l'Ordinateur, code du modèle de chemin, sommes de contrôle (MD5, SHA2-256, SHA1) du processus lié au fichier, version du fichier), identifiant de l'interception d'événement réalisée, version complète du filtre d'interception, identifiant du type d'événement intercepté, taille de la file d'attente des événements et nombre d'événements entre le premier événement de la file et l'événement en cours, nombre d'événements dépassés dans la file, informations sur le processus à l'origine de l'événement en cours (nom du fichier et chemin d'accès à celui-ci sur l'Ordinateur, code du modèle de chemin, sommes de contrôle (MD5, SHA2-256, SHA1) du processus), heure de traitement de l'événement, durée maximale autorisée de traitement des événements, valeur de la probabilité d'envoi des données.
Information sur le fonctionnement de l'application sur l'Ordinateur : données sur l'utilisation du processeur (CPU), donnée sur l'utilisation de la mémoire (Private Bytes, Non-Page Pool, Paged Pool), nombre de flux actifs dans le processus de l'application et de flux en attente, durée de fonctionnement de l'application jusqu'à l'erreur.
Informations sur les résultats du classement en catégories des ressources Internet sollicitées. Celui contient l'adresse Internet à analyser et l'adresse IP de l'hôte, la version du composant de l'application qui réalise le classement en catégories, le mode de classement utilisé et la sélection de catégories définies pour la ressource Internet.
Informations relatives aux attaques réseaux : adresses IP de l'ordinateur attaquant (IPv4 et IPv6), numéro de port de l'Ordinateur ciblé par l'attaque réseau, identifiant du protocole du paquet IP dans lequel l'attaque a été enregistrée, cible de l'attaque (nom de l'organisation, le site Internet), l'indicateur de réaction à l'attaque, la pondération de l'attaque, la valeur du niveau de confiance.
Informations sur les connexions réseau : version et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier du processus qui a ouvert le port, chemin d'accès au fichier du processus et sa signature numérique, adresses IP locales et distantes, numéros des ports local et distant de connexion, état de la connexion, heure d'ouverture du port.
Informations relatives aux événements dans les journaux système : heure de l'événement, nom du journal dans lequel l'événement est détecté, type et catégorie de l'événement, nom de la source de l'événement et sa description.
Informations sur l'état de la protection antivirus de l'Ordinateur : versions, dates et heures d'émission des bases antivirus utilisées, statistiques des mises à jour et des connexions aux services du Titulaire des droits, identifiant de la tâche et identifiant du composant de l'application qui a réalisé l'analyse.
Informations sur les applications tierces qui ont provoqué l'erreur : leur nom, version et localisation, code d'erreur et informations à son sujet tirées du journal système des applications, adresse où l'erreur est apparue et pile de mémoire de l'application tierce, signe d'apparition de l'erreur dans le composant de l'application, durée de fonctionnement de l'application avant l'erreur, sommes de contrôle (MD5, SHA2-256, SHA1) de l'image du processus de l'application dans lequel l'erreur s'est produite, chemine d'accès à cette image du processus de l'application et code du modèle de chemin, informations du journal système du système d'exploitation avec la description de l'erreur liée à l'application, les informations sur le module de l'application dans lequel l'erreur s'est produite (identifiant de l'erreur, adresse de l'erreur comme déplacement dans le module, nom et version du module, identifiant de la panne de l'application dans le plug-in du Titulaire de droit et pile de la mémoire de cette panne, durée de fonctionnement de l'application jusqu'à l'erreur).
Informations sur les arrêts sur échec de l'application : date et heure de création du dump, son type, le nom du processus associé au dump, version et heure d'envoi des statistiques avec le dump, type d'événement à l'origine de l'arrêt sur échec de l'application (coupure accidentelle de l'alimentation, plantage de l'application d'un éditeur tiers, erreur de traitement d'une interception), date et heure de la coupure accidentelle de l'alimentation.
Informations relatives aux attaques liées à la substitution de ressources réseau, DNS et adresses IP (IPv4 ou IPv6) des sites Internet visités.
Informations sur les certificats numériques utilisés requises pour vérifier leur authenticité : sommes de contrôle du certificat (SHA256) utilisé pour signer l'objet à analyser, clé publique du certificat.
Informations sur les vulnérabilités détectées : identifiant de la vulnérabilité dans la base des vulnérabilités, classe du danger de la vulnérabilité et état de la détection.
Informations sur le matériel installé sur l'Ordinateur : type, nom, modèle, version du micrologiciel, caractéristiques des appareils intégrés et connectés, identifiant unique de l'Ordinateur sur lequel est installée l'application.
Informations relatives aux applications installées sur l'Ordinateur : nom de l'application et de son éditeur, clés de registre utilisées et leur valeur, informations sur les fichiers du composant de l'application installée (sommes de contrôle (MD5, SHA2-256, SHA1), nom, chemin d'accès au fichier sur l'Ordinateur, taille, version et signature numérique), informations sur les objets du noyau, les pilotes, les services, les extensions Microsoft Internet Explorer, les extensions du système d'impression, les extensions Windows Explorer, les éléments Active Setup, les applets du panneau de configuration, les enregistrements du fichier hosts et de la base de registres système, version des navigateurs et des clients de messagerie.
Informations relatives à l'ensemble des objets et actions potentiellement malveillants : nom de l'objet détecté et chemin d'accès complet à l'objet sur l'Ordinateur, sommes de contrôle des fichiers traités (MD5, SHA2-256, SHA1), date et heure de la détection, nom et taille des fichiers infectés et chemin d'accès à ceux-ci, code du modèle de chemin d'accès, identification de l'objet en tant que conteneur ou non, nom du compacteur (si le fichier a été compacté), code du type de fichier, identifiant du format de fichier, liste des activités du programme malveillant et des solutions de l'application et de l'Utilisateur à son sujet, identifiant des bases antivirus sur la base desquelles la solution de l'application a été appliquée, nom de la menace détectée conformément à la classification du Titulaire des droits, état et mode de détection, cause de l'inclusion dans le contexte à analyser et position du fichier dans le contexte, sommes de contrôle (MD5, SHA2-256, SHA1), nom et attributs du fichier exécutable de l'application via laquelle le message ou le lien infectés est arrivé, adresses IP dépersonnalisées (IPv4 et IPv6) de l'hôte de l'objet bloqué, entropie du fichier, indice de la présence du fichier dans le démarrage automatique, heure de la première détection du fichier dans le système, nombre de lancements du fichier depuis le dernier envoi des statistiques, informations relatives au nom, aux sommes de contrôle (MD5, SHA2-256, SHA1) et à la taille du client de messagerie via lequel l'objet malveillant a été reçu, identifiant de la tâche de l'application qui a réalisé l'analyse, indice de vérification de la réputation ou signature du fichier, résultats du traitement du fichier, somme de contrôle (MD5) du profil obtenu pour l'objet et taille du profil en octets, caractéristiques techniques des technologies de détection appliquée.
Fichiers exécutables ou non-exécutables en entier ou en partie.
Nombre de dumps de l'application et de dumps du système (BSOD) depuis l'installation de l'application et depuis la dernière mise à jour, identifiant et version du module de l'application dans lequel l'échec s'est produit, pile de la mémoire dans le processus de produit et informations relatives aux bases antivirus au moment de l'échec.
Description des classes et des exemplaires de classes WMI du stockage.
Rapport sur les activités des applications.
Paquets de données du trafic réseau.
Secteurs impliqués dans le chargement du système d'exploitation.
Informations de service sur le fonctionnement de l'application : version du compilateur, indice du niveau potentiellement malveillant de l'objet analysé, version de la sélection de statistiques à transmettre, informations relatives à la présence et à la validité des statistiques, identifiant de condition de création des statistiques à transmettre, indice de fonctionnement de l'application en mode interactif .