DÉCLARATION DE KASPERSKY SECURITY NETWORK (KSN) - Kaspersky Endpoint Security 11 for Windows La Déclaration de Kaspersky Security Network (ci-après « Déclaration KSN ») porte sur le programme informatique Kaspersky Endpoint Security (ci-après « Logiciel »). La Déclaration KSN et le Contrat de licence utilisateur final du Logiciel, notamment dans la section « Conditions concernant le traitement des données », spécifient les conditions, les responsabilités et les procédures relatives à la transmission et au traitement des données, comme indiqué dans la Déclaration KSN. Avant de l’accepter, lisez attentivement les conditions de la Déclaration KSN, ainsi que tous les documents qui y sont mentionnés. Lorsque l’Utilisateur final active l’utilisation de KSN, il incombe à l’Utilisateur final de s’assurer que le traitement des données personnelles des Personnes concernées est légal, en particulier, conformément à l’Article 6 (1) (a) à (1) (f) du Règlement (UE) 2016/679 (Règlement général sur la protection des données, « RGPD ») si la Personne concernée se trouve dans l’Union européenne, ou aux lois en vigueur sur les informations confidentielles, les données personnelles, la protection des données, etc. Traitement et protection des données Les données que le Détenteur des droits reçoit de l’Utilisateur final lors de l’utilisation de KSN sont traitées conformément à la Politique de confidentialité du Détenteur des droits publiée à l’adresse suivante : https://www.kaspersky.com/Products-and-Services-Privacy-Policy. Objectif du traitement des données Permettre d’augmenter la réactivité du Logiciel face aux menaces de sécurité pesant sur le réseau et les informations. L’objectif déclaré est atteint en : - déterminant la réputation des objets analysés ; - identifiant les nouvelles menaces de sécurité des informations, difficiles à détecter, ainsi que leurs sources ; - prenant rapidement les mesures nécessaires pour accroître la protection des données stockées et traitées par l’Utilisateur final à l’aide de l’Ordinateur ; - réduisant la probabilité de faux positifs ; - améliorant l’efficacité des composants logiciels ; - évitant tout incident de sécurité des informations et en examinant les incidents ayant eu lieu ; - améliorant les performances des produits du Détenteur des droits ; - recevant des informations de référence sur le nombre d’objets dont la réputation est éprouvée. Données traitées Lorsque KSN est activé, le Détenteur des droits recevra et traitera automatiquement les données suivantes : Les données transmises par l’Utilisateur dépendent du type de licence installée et des paramètres d’utilisation de KSN spécifiés. Si vous utilisez une licence pour 1 à 4 nœuds, le Détenteur des droits recevra et traitera automatiquement les données suivantes lors de l’utilisation de KSN : - Informations concernant les mises à jour de configuration de KSN : identifiant de la configuration active, identifiant de la configuration reçue, code d’erreur de la mise à jour de la configuration - Informations sur les fichiers et les URL à analyser : sommes de contrôle du fichier analysé (MD5, SHA2-256, SHA1) et des modèles de fichiers (MD5), taille du modèle, type et nom de la menace détectée selon la classification du Détenteur des droits, identifiant des bases antivirus, URL pour laquelle la réputation est demandée, URL de référence, identifiant du protocole de connexion et numéro du port utilisé - Identifiant de la tâche d’analyse ayant détecté la menace - Informations sur les certificats numériques utilisés pour vérifier leur authenticité : sommes de contrôle (SHA2-256) du certificat utilisé pour signer l’objet analysé et la clé publique du certificat - Identifiant du composant logiciel effectuant l’analyse - ID des bases antivirus et des dossiers dans ces bases antivirus, - Informations sur l’activation du Logiciel sur l’Ordinateur : en-tête signé du ticket reçu du service d’activation (identifiant du centre d’activation régional, somme de contrôle du code d’activation, somme de contrôle du ticket, date de création du ticket, identifiant unique du ticket, version du ticket, statut de la licence, date et heure de début/fin de la validité du ticket, identifiant unique de la licence, version de la licence), identifiant du certificat utilisé pour signer l’en-tête du ticket, somme de contrôle (MD5) du fichier clé - Informations sur le Logiciel du Détenteur des droits : version complète, type, version du protocole utilisé pour se connecter aux services du Détenteur des droits Si vous utilisez une licence pour 5 nœuds ou plus, le Détenteur des droits recevra et traitera automatiquement les données suivantes lors de l’utilisation de KSN : - Informations concernant les mises à jour de configuration de KSN : identifiant de la configuration active, identifiant de la configuration reçue, code d’erreur de la mise à jour de la configuration - Informations sur les fichiers et les URL à analyser : sommes de contrôle du fichier analysé (MD5, SHA2-256, SHA1) et des modèles de fichiers (MD5), taille du modèle, type et nom de la menace détectée selon la classification du Détenteur des droits, identifiant des bases antivirus, URL pour laquelle la réputation est demandée, URL de référence, identifiant du protocole de connexion et numéro du port utilisé - Informations sur les résultats de catégorisation des ressources Web demandées : adresse IP et URL traitées de l’hôte, version du composant du logiciel qui a effectué la catégorisation, méthode de catégorisation et ensemble des catégories définies pour la ressource Web - Identifiant de la tâche d’analyse ayant détecté la menace - Informations sur les certificats numériques utilisés pour vérifier leur authenticité : sommes de contrôle (SHA2-256) du certificat utilisé pour signer l’objet analysé et la clé publique du certificat - Informations sur les Logiciels installés sur l’Ordinateur : nom des applications logicielles et des distributeurs de logiciels, clés de registre et leurs valeurs, informations sur les fichiers des composants logiciels installés (sommes de contrôle [MD5, SHA2-256, SHA1], nom, chemin d’accès au fichier sur l’Ordinateur, taille, version et signature numérique) - Informations sur l’état de la protection antivirus de l’Ordinateur : versions, ainsi que date et heure de publication des bases antivirus utilisées, identifiant de tâche et identifiant du composant logiciel qui effectue l’analyse - Informations sur les fichiers téléchargés par l’Utilisateur final : URL et adresses IP du téléchargement et URL de la page visitée avant la page de téléchargement, identifiant du protocole de téléchargement et numéro du port de connexion, état malveillant ou non des URL, attributs, taille et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier, informations sur le processus ayant téléchargé le fichier (sommes de contrôle [MD5, SHA2-256, SHA1], date et heure de création/de la version, état d’exécution automatique, attributs, noms des utilitaires de compression, informations sur les signatures, indicateurs de fichier exécutable, identifiant de format, type de compte utilisé pour lancer le processus), informations sur le fichier du processus (nom, chemin d’accès du fichier et taille), nom et chemin d’accès du fichier sur l’Ordinateur, signature numérique ainsi que date et heure de création du fichier, URL où la détection est survenue, numéro du script sur la page qui semble être suspecte ou nuisible - Informations sur les applications en cours d’exécution et leurs modules : données sur les processus en cours d’exécution sur le système (ID de processus [PID], nom du processus, informations sur le compte à partir duquel le processus a été démarré, application et commande ayant démarré le processus, signe d’un processus ou programme de confiance, chemin d’accès complet aux fichiers du processus et leurs sommes de contrôle [MD5, SHA2-256, SHA1], ligne de commande de démarrage, niveau d’intégrité du processus, description du produit auquel le processus appartient [y compris le nom du produit et des informations sur l’éditeur], certificats numériques utilisés et informations requises pour vérifier leur authenticité ou informations sur l’absence de signature numérique d’un fichier), informations sur les modules chargés dans les processus (noms, taille, types, dates de création, attributs, sommes de contrôle [MD5, SHA2-256, SHA1], chemins d’accès sur l’Ordinateur), informations d’en-tête de fichier PE, noms des utilitaires de compression (si le fichier a été compressé) - Informations sur tous les objets et activités potentiellement malveillants : nom de l’objet détecté et chemin d’accès complet à l’objet sur l’Ordinateur, sommes de contrôle (MD5, SHA2-256, SHA1) des fichiers traités, date et heure de détection, noms et taille des fichiers infectés et chemins pour y accéder, code du modèle de chemin, indicateur stipulant si l’objet est un conteneur, nom des utilitaires de compression (si le fichier a été compressé), code du type de fichier, identifiant de format de fichier, identifiants des bases antivirus et des enregistrements dans ces bases antivirus utilisés pour prendre une décision, indicateur d’un objet potentiellement malveillant, nom de la menace détectée selon la classification du Détenteur des droits, niveau de danger, état et méthode de la détection, raison de l’inclusion dans le contexte analysé et numéro de séquence du fichier en contexte, sommes de contrôle (MD5, SHA2-256, SHA1), nom et attributs du fichier exécutable de l’application qui a transmis le message ou le lien infecté, adresses IP (IPv4 et IPv6) de l’hôte de l’objet bloqué, entropie du fichier, état d’exécution automatique du fichier, heure de la première détection du fichier dans le système, nombre d’exécutions du fichier depuis le dernier envoi de statistiques, type de compilateur, informations sur le nom, sommes de contrôle (MD5, SHA2-256, SHA1) et taille du client de messagerie utilisé pour recevoir l’objet malveillant, identifiant de tâche du Logiciel qui a effectué l’analyse, indicateur de vérification de la réputation ou de la signature du fichier, résultats d’une analyse statique du fichier contenu, modèle d’objet, taille du modèle en octets et paramètres techniques des technologies de détection appliquées - Informations sur les objets analysés : groupe de confiance attribué dans lequel le fichier a été placé ou d’où il provient, raison pour laquelle le fichier a été placé dans cette catégorie, identifiant de catégorie, informations sur la source des catégories et la version de la base de données des catégories, indicateur de certificat de confiance du fichier, nom du fournisseur du fichier, version du fichier, nom et version de l’application logicielle qui contient le fichier - Informations concernant les vulnérabilités détectées : ID de vulnérabilité dans la base de données des vulnérabilités, classe de danger correspondante - Informations sur l’émulation du fichier exécutable : taille de fichier et sommes de contrôle (MD5, SHA2-256, SHA1), version du composant d’émulation, profondeur de l’émulation, tableau de propriétés de blocs logiques et fonctions pour les blocs logiques obtenus pendant l’émulation, données tirées des en-têtes PE du fichier exécutable - Informations sur les attaques de réseau : adresses IP de l’ordinateur à l’origine de l’attaque (IPv4 et IPv6), numéro du port de l’Ordinateur cible de l’attaque de réseau, identifiant du protocole du paquet IP contenant l’attaque, cible de l’attaque (nom de l’entreprise, site Web), indicateur de la réaction à l’attaque, poids de l’attaque, niveau de confiance - Informations sur les attaques associées aux ressources réseau usurpées : adresses DNS et IP (IPv4 et IPv6) des sites Web visités - Adresses DNS et IP (IPv4 ou IPv6) de la ressource Web demandée, informations sur le fichier et le client de messagerie accédant à la ressource Web, nom, taille et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier, chemin d’accès complet au fichier et code du modèle du chemin d’accès, résultat de la vérification de sa signature numérique et son état dans KSN - Informations sur l’annulation des actions de l’application malveillante : données sur le fichier dont l’activité a été annulée (nom du fichier, chemin d’accès complet, taille et sommes de contrôle [MD5, SHA2-256, SHA1]), données sur les réussites et les échecs des actions entreprises pour supprimer, renommer et copier des fichiers et restaurer les valeurs dans le registre (noms et valeurs des clés de registre) et informations sur les fichiers système modifiés par l’application malveillante, avant et après le retour à l’état antérieur - Informations sur les exclusions définies pour le composant de contrôle des anomalies Adaptive : identifiant et statut de la règle qui a été déclenchée, action effectuée par le Logiciel lorsque la règle a été déclenchée, type de compte utilisateur sous lequel le processus ou le flux effectue l’activité suspecte, ainsi que sur le processus qui a été soumis à l’activité suspecte (ID de script ou nom de fichier du processus, chemin d’accès complet au fichier de processus, code de modèle du chemin d’accès, sommes de contrôle [MD5, SHA2-256, SHA1] du fichier de processus) ; informations sur l’objet qui a effectué les actions suspectes ainsi que sur l’objet qui a été soumis à l’action suspecte (nom de la clé de registre ou nom du fichier, chemin d’accès complet au fichier, code de modèle du chemin d’accès et sommes de contrôle [MD5, SHA2-256, SHA1] du fichier) - Informations sur les modules logiciels chargés : nom, taille et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier de module, chemin d’accès complet et code de modèle du chemin d’accès au fichier, paramètres de la signature numérique du fichier de module, date et heure de la création de la signature, nom du sujet et de l’entreprise ayant signé le fichier de module, ID du processus dans lequel le module a été chargé, nom du fournisseur du module, numéro de séquence du module dans la file d’attente de chargement - Informations sur la qualité de l’interaction du Logiciel avec les services KSN : date et heure de début et de fin de la période durant laquelle les statistiques ont été générées, informations sur la qualité des demandes et de la connexion à chacun des services KSN utilisés (ID de service KSN, nombre de demandes abouties, nombre de demandes dont les réponses proviennent du cache, nombre de demandes non abouties (problèmes réseau, KSN désactivé dans les paramètres du Logiciel, routage incorrect), durée des demandes abouties, durée des demandes annulées, durée des demandes ayant dépassé la durée limite, nombre de connexions à KSN extraites du cache, nombre de connexions abouties à KSN, nombre de connexions non abouties à KSN, nombre de transactions abouties, nombre de transactions non abouties, durée des connexions abouties à KSN, durée des connexions non abouties à KSN, durée des transactions abouties, durée des transactions non abouties) - Informations relatives aux données présentes dans la mémoire du processus, quand un objet potentiellement malveillant est détecté : éléments de la hiérarchie d’objets du système (ObjectManager), données de la mémoire BIOS UEFI, noms et valeurs des clés de registre - Informations relatives aux événements figurant dans les journaux système : date et heure de l’événement, nom du journal dans lequel l’événement a été détecté, type et catégorie de l’événement, nom de la source de l’événement et description de l’événement - Informations relatives aux connexions réseau : version et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier à partir duquel le processus qui a ouvert le port a été démarré, chemin d’accès au fichier du processus et sa signature numérique, adresses IP locales et distantes, numéros des ports de connexion locale et distant, état de la connexion, date et heure de l’ouverture du port - Informations relatives à la date d’installation et d’activation du Logiciel sur l’Ordinateur : identifiant du partenaire auprès duquel la licence a été achetée, numéro de série de la licence, en-tête signé du ticket reçu du service d’activation (identifiant du centre d’activation régional, somme de contrôle du code d’activation, somme de contrôle du ticket, date de création du ticket, identifiant unique du ticket, version du ticket, statut de la licence, date et heure de début/fin de la validité du ticket, identifiant unique de la licence, version de la licence), identifiant du certificat utilisé pour signer l’en-tête du ticket, somme de contrôle (MD5) du fichier clé, identifiant unique d’installation du Logiciel sur l’Ordinateur, type et identifiant de l’application mise à jour, identifiant de la tâche de mise à jour - Informations sur l’ensemble de toutes les mises à jour installées et sur l’ensemble des toutes dernières mises à jour installées/supprimées, type d’événement ayant provoqué l’envoi des informations relatives à la mise à jour, temps écoulé depuis l’installation de la dernière mise à jour, informations sur les bases antivirus actuellement installées - Informations relatives au fonctionnement du Logiciel sur l’Ordinateur : données relatives à l’utilisation du processeur et de la mémoire (octets privés, réserve non paginée, réserve paginée), nombre de flux actifs et en attente du Logiciel, durée pendant laquelle le Logiciel a fonctionné avant la survenue de l’erreur, indicateur signalant si le logiciel fonctionne en mode interactif - Nombre de vidages logiciels et de vidages système (BSOD) depuis que le Logiciel a été installé et depuis la dernière mise à jour, identifiant et version du module Logiciel victime de l’incident, pile mémoire dans le processus du Logiciel et informations sur les bases antivirus au moment de l’incident - Données relatives au vidage système (BSOD) : indicateur d’occurrence du BSOD sur l’Ordinateur, nom du pilote ayant causé le BSOD, adresse et pile mémoire du pilote, indicateur de durée de la session du système d’exploitation avant la survenue du BSOD, pile mémoire du pilote victime de l’incident, type de vidage mémoire stocké, indicateur de session du système d’exploitation avant le BSOD durant plus de 10 minutes, identifiant unique du vidage, date et heure du BSOD - Informations sur les erreurs ou problèmes de performance survenus pendant le fonctionnement des composants Logiciels : identifiant d’état du Logiciel, type d’erreur, code, cause et heure de son occurrence, identifiants du composant, module et processus du produit dans lesquels l’erreur s’est produite, identifiant de la tâche ou de la catégorie de mise à jour pendant laquelle l’erreur s’est produite, journaux des pilotes utilisés par le Logiciel (code d’erreur, nom du module, nom du fichier source et ligne sur laquelle l’erreur s’est produite) - Informations sur les mises à jour des bases antivirus et des composants logiciels : nom, date et heure des fichiers d’index téléchargés pendant la dernière mise à jour et téléchargés pendant la présente mise à jour - Informations sur l’arrêt anormal du Logiciel : date et heure de création du vidage, type de vidage, type d’événement ayant causé l’arrêt anormal du Logiciel (mise hors tension inattendue, incidents d’application tierce), date et heure de la mise hors tension inattendue - Informations sur la compatibilité des pilotes logiciels avec le matériel et le Logiciel : informations sur les propriétés du BIOS qui restreignent la fonctionnalité des composants logiciels (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), type de Logiciel de téléchargement installé (UEFI, BIOS), identifiant du Trusted Platform Module (TPM), version de spécification du TPM, informations sur l’UC installée sur l’Ordinateur, mode de fonctionnement et paramètres de l’intégrité du code et de Device Guard, mode de fonctionnement des pilotes et raison d’utilisation du mode actuel, version des pilotes Logiciels, statut d’assistance pour la virtualisation logicielle et matérielle de l’Ordinateur - Informations relatives aux applications tierces ayant causé l’erreur : leur nom, version et localisation, code d’erreur et informations relatives à l’erreur issues du journal système des applications, adresse de l’erreur et pile mémoire de l’application tierce, indicateur d’occurrence de l’erreur dans le composant logiciel, durée de fonctionnement de l’application tierce avant l’apparition de l’erreur, sommes de contrôle (MD5, SHA2-256, SHA1) de l’image du processus de l’application dans lequel l’erreur s’est produite, chemin d’accès à l’image du processus de l’application et code de modèle du chemin d’accès, informations du journal système avec description de l’erreur associée à l’application, informations relatives au module de l’application dans lequel l’erreur s’est produite (identifiant de l’exception, adresse mémoire de l’incident sous forme d’offset dans le module de l’application, nom et version du module, identifiant de l’incident de l’application dans le plug-in du Détenteur des droits et pile mémoire de l’incident, durée de la session de l’application avant l’incident) - Version du composant du programme de mise à jour du Logiciel, nombre d’incidents du composant du programme de mise à jour lors de l’exécution des tâches de mises à jour sur toute la durée de fonctionnement du composant, identifiant du type de tâche de mise à jour, nombre d’échecs des tâches de mise à jour du composant du programme de mise à jour - Informations sur le fonctionnement des composants de surveillance du système du Logiciel : versions complètes des composants, date et heure de démarrage des composants, code de l’événement ayant provoqué le débordement de la file d’attente d’événements et nombre d’événements similaires, nombre total d’événements de débordement de la file d’attente, informations relatives au fichier du processus ayant initié l’événement (nom de fichier et chemin d’accès sur l’Ordinateur, code de modèle de chemin d’accès au fichier, sommes de contrôle [MD5, SHA2-256, SHA1] du processus associé au fichier, version du fichier), identifiant de l’interception d’événement survenue, version complète du filtre d’interception, identifiant du type d’événement intercepté, taille de la file d’attente d’événements et nombre d’événements entre le premier événement de la file d’attente et l’événement actuel, nombre d’événements en retard dans la file d’attente, informations relatives au fichier du processus ayant initié l’événement actuel (nom de fichier et chemin d’accès sur l’Ordinateur, code de modèle de chemin d’accès au fichier, sommes de contrôle [MD5, SHA2-256, SHA1] du processus associé au fichier), durée de traitement de l’événement, durée maximale du traitement de l’événement, probabilité d’envoi des statistiques, informations sur les événements de SE pour lesquels la limite de durée de traitement a été dépassée (date et heure de l’événement, nombre d’initialisations répétées des bases antivirus, date et heure de la dernière initialisation répétée des bases antivirus après leur mise à jour, délai de traitement des événements pour chaque composant de surveillance du système, nombre d’événements mis en attente, nombre d’événements traités, nombre d’événements en retard du type actuel, retard total pour les événements du type actuel, retard total pour tous les événements) - Informations provenant de l’outil de traçage d’événement de Windows (Event Tracing for Windows, ETW) en cas de problèmes de performance du Logiciel, fournisseurs d’événements SysConfig / SysConfigEx / WinSATAssessment de Microsoft : informations sur l’Ordinateur (modèle, fabricant, format du châssis, version), informations sur les mesures de performances Windows (évaluations WinSAT, indice de performance Windows), nom de domaine, informations sur les processeurs physiques et logiques (nombre de processeurs physiques et logiques, fabricant, modèle, niveau de stepping, nombre de cœurs, fréquence d’horloge, CPUID, caractéristiques du cache, caractéristiques du processeur logique, indicateurs des modes pris en charge et instructions), informations sur les modules RAM (type, format, fabricant, modèle, capacité, granularité de l’allocation de mémoire), informations sur les interfaces réseaux (adresses IP et MAC, nom, description, configuration des interfaces réseaux, découpage du nombre et taille des paquets réseau par type, vitesse des échanges sur le réseau, découpage du nombre d’erreurs réseau par type), configuration du contrôleur IDE, adresses IP des serveurs DNS, informations sur la carte vidéo (modèle, description, fabricant, compatibilité, capacité de la mémoire vidéo, permission d’écran, nombre de bits par pixel, version du BIOS), informations sur les appareils plug-and-play (nom, description, identifiant de l’appareil [PnP, ACPI], informations sur les disques et les appareils de stockage (nombre de disques ou de clés USB, fabricant, modèle, capacité du disque, nombre de cylindres, nombre de pistes par cylindre, nombre de secteurs par piste, capacité des secteurs, caractéristiques du cache, numéro séquentiel, nombre de partitions, configuration du contrôleur SCSI), informations sur les disques logiques (numéro séquentiel, capacité des partitions, capacité des volumes, lettre du volume, type de partition, type de système de fichiers, nombre de clusters, taille des clusters, nombre de secteurs par cluster, nombre de clusters vides et occupés, lettre du volume amorçable, adresse offset de la partition par rapport au début du disque), informations sur la carte mère du BIOS (fabricant, date de sortie, version), informations sur la carte mère (fabricant, modèle, type), informations sur la mémoire physique (capacité partagée et libre), informations sur les services du système d’exploitation (nom, description, statut, tag, informations sur les processus [nom et PID]), paramètres de consommation d’énergie de l’Ordinateur, configuration du contrôleur d’interruption, chemin d’accès aux dossiers système de Windows (Windows et System32), informations sur le SE (version, build, date de sortie, nom, type, date d’installation), taille du fichier de page, informations sur les écrans (nombre, fabricant, permission d’écran, capacité de résolution, type), informations sur le pilote de la carte vidéo (fabricant, date de sortie, version) - Informations d’ETW, fournisseurs d’événements EventTrace / EventMetadata de Microsoft : informations sur la séquence des événements système (type, heure, date, fuseau horaire), métadonnées sur le fichier avec résultats de trace (nom, structure, paramètres de trace, répartition du nombre d’opérations de trace par type), informations sur le SE (nom, type, version, build, date de sortie, heure de début) - Informations d’ETW, fournisseurs d’événements Process / Microsoft Windows Kernel Process / Microsoft Windows Kernel Processor Power de Microsoft : informations sur les processus lancés et terminés (nom, PID, paramètres de début, ligne de commande, code de retour, paramètres de gestion de puissance, heure de début et de fin, type de jeton d’accès, SID, ID de session, nombre de descripteurs installés), informations sur les modifications apportées aux priorités de thread (TID, priorité, heure), informations sur les opérations de disque du processus (type, heure, capacité, nombre), historique des modifications apportées à la structure et à la capacité des processus mémoire utilisables - Informations d’ETW, fournisseurs d’événements StackWalk / Perfinfo de Microsoft : informations sur les compteurs de performances (performances de sections de code individuelles, séquence d’appels de fonction, PID, TID, adresses et attributs d’ISR et DPC) - Informations d’ETW, fournisseur d’événements KernelTraceControl-ImageID de Microsoft : informations sur les fichiers exécutables et les bibliothèques dynamiques (nom, taille d’image, chemin d’accès complet), informations sur les fichiers PDB (nom, identifiant), données de ressources VERSIONINFO pour les fichiers exécutables (nom, description, créateur, emplacement, version et identifiant de l’application, version et identifiant du fichier) - Informations d’ETW, fournisseurs d’événements FileIo / DiskIo / Image / Windows Kernel Disk de Microsoft : informations sur les opérations de fichier et de disque (type, capacité, heure de début, heure de fin, durée, statut d’achèvement, PID, TID, adresses d’appel de fonction de pilote, I/O Request Packet (IRP), attributs d’objet de fichier Windows), informations sur les fichiers impliqués dans les opérations de fichier et de disque (nom, version, taille, chemin d’accès complet, attributs, décalage, somme de contrôle des images, options d’ouverture et d’accès) - Informations d’ETW, fournisseur d’événements PageFault de Microsoft : informations sur les erreurs d’accès à la page de mémoire (adresse, heure, capacité, PID, TID, attributs d’objet de fichier Windows, paramètres d’allocation de mémoire) - Informations d’ETW, fournisseurs d’événements Thread de Microsoft : informations sur la création/l’achèvement des threads, informations sur les threads démarrés (PID, TID, taille de pile, priorités et allocation de ressources d’UC, ressources E/S, pages de mémoire entre les threads, adresse de pile, adresse de la fonction init, adresse de Thread Environment Block (TEB), étiquette de service Windows) - Informations d’ETW, fournisseur d’événements Microsoft Windows Kernel Memory de Microsoft : informations sur les opérations de gestion de la mémoire (statut d’achèvement, heure, quantité, PID), structure d’allocation de mémoire (type, capacité, ID de session, PID) - Informations sur le fonctionnement du Logiciel en cas de problèmes de performance : identifiant d’installation du Logiciel, type et valeur de la chute des performances, informations sur la séquence d’événements dans le Logiciel (heure, fuseau horaire, type, statut d’achèvement, identifiant du composant du Logiciel, identifiant du scénario de fonctionnement du Logiciel, TID, PID, adresses d’appel de fonction), informations sur les connexions réseau à vérifier (URL, sens de la connexion, taille du pack réseau), informations sur les fichiers PDB (nom, identifiant, taille d’image du fichier exécutable), informations sur les fichiers à vérifier (nom, chemin d’accès complet, somme de contrôle), paramètres de surveillance des performances du Logiciel - Informations sur le dernier échec de redémarrage du système d’exploitation : nombre d’échecs de redémarrage depuis l’installation du système d’exploitation, données sur le vidage système (code et paramètres d’une erreur, nom, version et somme de contrôle [CRC32] du module ayant provoqué une erreur dans le fonctionnement du système d’exploitation, adresse d’erreur sous forme d’offset dans le module, sommes de contrôle [MD5, SHA2-256, SHA1] du vidage système) - Informations pour vérifier l’authenticité des certificats numériques utilisés pour signer les fichiers : empreinte digitale du certificat, algorithme de somme de contrôle, clé publique et numéro de série du certificat, nom de l’émetteur du certificat, résultat de la validation du certificat et identifiant de base de données du certificat - Informations relatives au processus qui attaque le système de protection automatique du Logiciel : nom et taille du fichier de processus, ses sommes de contrôle (MD5, SHA2-256, SHA1), chemin d’accès complet au fichier de processus et code de modèle du chemin d’accès au fichier, date et heure de création/de la version, code de type du fichier de processus, indicateur de fichier exécutable, attributs du fichier de processus, informations relatives au certificat utilisé pour signer le fichier de processus, type de compte utilisé pour mener l’activité malveillante au sein du processus ou du thread, ID des opérations réalisées pour accéder au processus, type de ressource avec laquelle l’opération est réalisée (processus, fichier, objet du registre, fonction de recherche FindWindow), nom de la ressource avec laquelle l’opération est réalisée, indicateur de réussite de l’opération, état du fichier du processus et sa signature conformément au KSN - Informations sur le Logiciel du Détenteur des droits : version complète, type, langue locale et état de fonctionnement, version des composants logiciels installés et leur état de fonctionnement, informations sur les mises à jour installées, valeur du filtre TARGET, version du protocole utilisé pour se connecter aux services du Détenteur des droits - Informations sur le matériel installé sur l’Ordinateur : type, nom, modèle, version du micrologiciel, paramètres des appareils intégrés et connectés, identifiant unique de l’Ordinateur sur lequel est installé le Logiciel - Informations sur les versions du système d’exploitation et des mises à jour installées : taille de mot, édition et paramètres du mode d’exécution du système d’exploitation, version et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier de noyau du système d’exploitation, date et heure de démarrage du système d’exploitation - Informations sur l’intéraction de l’Utilisateur avec les contrôles de l’application (clics, touches tactiles). En outre, afin d’atteindre l’objectif déclaré visant à améliorer l’efficacité de la protection fournie par le Logiciel, le Détenteur des droits peut recevoir des objets susceptibles d’être exploités par des intrus pour nuire à l’Ordinateur et créer des menaces à la sécurité des informations. Ces objets sont les suivants : - Les fichiers exécutables et non exécutables, dans leur intégralité ou en partie - Des parties de la mémoire RAM de l’Ordinateur - Les secteurs impliqués dans le processus d’amorçage du système d’exploitation - Les paquets de données du trafic réseau - Les pages Web et les e-mails contenant des objets malveillants et suspects - La description des classes et instances de classes du référentiel WMI - Les rapports d’activités des applications Ces rapports d’activités des applications contiennent les données suivantes sur les fichiers et processus : - Nom, taille, version, description et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier envoyé, identifiant du format du fichier, nom de l’éditeur du fichier, nom du produit auquel le fichier appartient, chemin d’accès complet sur l’Ordinateur, code de modèle du chemin d’accès au fichier, date et heure de création et de modification du fichier - Date et heure de début et de fin de validité du certificat (si le fichier possède une signature numérique), date et heure de la signature, nom de l’émetteur du certificat, informations relatives au détenteur du certificat, empreinte, clé publique et algorithmes appropriés du certificat, numéro de série du certificat - Nom du compte à partir duquel le processus est exécuté - Sommes de contrôle (MD5, SHA2-256, SHA1) du nom de l’Ordinateur sur lequel le processus est en cours d’exécution - Titres des fenêtres de processus - Identifiant des bases antivirus, nom de la menace détectée selon la classification du Détenteur des droits - Données relatives à la licence installée : identifiant, type et date d’expiration - Heure locale de l’Ordinateur au moment de la fourniture des informations - Noms et chemins d’accès des fichiers auxquels le processus a accédé - Noms et valeurs des clés de registre auxquelles le processus a accédé - URL et adresses IP auxquelles le processus a accédé - URL et adresses IP à partir desquelles le fichier en exécution a été téléchargé En outre, afin d’atteindre l’objectif déclaré visant à éviter tout faux positif, le Détenteur des droits peut recevoir des fichiers exécutables et non exécutables, dans leur intégralité ou en partie. La description des données transmises en fonction des paramètres d’utilisation de KSN est disponible dans le Manuel de l’utilisateur. Votre volonté de participer Il Vous incombe entièrement de décider d’envoyer des données au Détenteur des droits de façon régulière et automatique en vertu de la présente Déclaration. Vous pouvez à tout moment retirer Votre consentement dans les paramètres du Logiciel, tel que décrit dans le Manuel de l’utilisateur. © 2020 AO Kaspersky Lab