Passer au contenu

Kaspersky a bien aspiré du code source de la NSA (sans le faire exprès)

L’antivirus n’aurait fait que son travail. Il a détecté une archive contenant des malwares et du code source, et il a tout téléchargé pour analyse complémentaire. La responsabilité de la fuite de données incomberait donc… à l’utilisateur.

Accusé de cyberespionnage pour le compte du Kremlin, l’éditeur antivirus Kaspersky Lab vient de publier les premiers résultats de l’enquête qu’il a diligentée en interne. Les informations publiées sont particulièrement croustillantes, car elles précisent les circonstances dans lesquelles tout ceci s’est passé. Tout d’abord, Kaspersky confirme avoir bien aspiré du code d’Equation Group –autrement dit la NSA– depuis un PC sur lequel était installé une version destinée aux particuliers. Entre le 11 septembre et le 17 novembre 2014, le moteur de détection de l’antivirus a trouvé plusieurs « variantes nouvelles, inconnues et en cours de développement de malwares utilisés par le groupe Equation ».

Certains exécutables malveillants ont été trouvés directement sur le PC, tel que cheval de Troie GrayFish, un malware capable d’infecter le firmware d’un disque dur. D’autres variantes étaient regroupées dans une archive 7zip que l’antivirus a identifié comme potentiellement malveillante avant de la télécharger automatiquement vers les serveurs de Kaspersky, à des fins d’analyse complémentaire. Celles-ci ont été réalisées par un chercheur en sécurité qui a pu confirmer qu’il y avait dans cette archive non seulement des exécutables, mais aussi du code source lié au groupe Equation. L’analyste a ensuite alerté le PDG, Eugene Kaspersky, qui a ordonné que la totalité des données soit effacée. « L’archive n’a pas été partagée avec un tiers », souligne l’éditeur.

Une fuite de données incroyable

Mais ce n’est pas tout. L’utilisateur de ce PC a visiblement installé une version piratée de Microsoft Office, car l’antivirus a également détecté un malware baptisé Mokes qui a été installé par une générateur de clés d’activation pour cette suite bureautique. Selon Kaspersky, Mokes est une « porte dérobée complète qui pouvait permettre à des tiers d’accéder à la machine ». Ce logiciel malveillant a été trouvé dans le dossier ISO d’une machine virtuelle installée sur l’ordinateur.

Cette trouvaille est évidemment ahurissante. Selon les articles du New York Times et du Washington Post, l’homme qui s’est fait piquer ces données secrètes était un membre de la division Tailored Access Operations (TAO), l’unité qui regroupe les hackers d’élite de la NSA. Cette personne, qui doit nécessairement avoir de solides compétences en sécurité informatique, aurait donc laissé des malwares de la NSA sur un PC sur lequel se trouve également des versions piratées de Microsoft Office, ainsi qu’un antivirus pouvant éventuellement détecter les exécutables secrets et les copier pour analyse. L’utilisateur aurait pu se prémunir de cette fuite de données en désactivant cette fonction de transfert, mais il ne l’a pas fait. Certes, l’erreur est humaine, mais à ce niveau-là, ce n’est vraiment pas logique.

L’antivirus cible-t-il des documents secrets ?

L’autre interrogation, comme le relève Wired, est celle de l’espionnage. Les articles des médias américains ont suggéré que l’antivirus de Kaspersky a été manipulé spécialement pour trouver des documents secrets en utilisant des mots-clés tels que « top secret » ou « classified ». Mais d’après les éléments apportés par Kaspersky, l’antivirus aurait agi de manière totalement normale : il a détecté une archive suspecte et celle-ci a été téléchargée pour analyse complémentaire.

Ce n’est que suite à l’analyse manuelle que l’éditeur se serait rendu compte qu’il y avait du code source top secret dans ces fichiers, d’où la décision de tout effacer. « Si on m’envoyait ceci et que c’est le code source d’un pays dans lequel je suis implanté commercialement, je l’effacerais tout de suite et, honnêtement, je contacterais mon directeur juridique car je ne veux pas être arrêté la prochaine fois que j’atterris quelque part », explique Jake Williams, un expert en cybersécurité, dans les colonnes de Wired.  

L’éditeur ajoute avoir trouvé d’autres malwares du groupe Equation en 2015, sur des ordinateurs qui appartenait « au même domaine IP » que le précédent utilisateur. Ces machines étaient apparemment configurées en « pots de miel », destinés à piéger des acteurs tiers. Cela semble corroborer le récit du Washington Post qui disait que les services secrets américains ont étudié de façon concluante la détection de l’antivirus Kaspersky sur des machines de test.

Questions sur un pot de miel

Mais on ne connait pas les détails de ces tests. L’antivirus s’est-il contenté de détecter des exécutables, ce qui est son rôle ? Où a-t-il également détecté des documents estampillés top secret ? De son côté, Kaspersky affirme que son logiciel n’a copié que des exécutables. « L’enquête confirme que Kaspersky Lab n’a jamais créé de détection de documents non malveillants et classifiés dans ses produits », explique l’éditeur qui, par ailleurs, souligne n’avoir trouvé aucune trace de hackers russes dans ses réseaux.

La balle est désormais dans le camp des Etats-Unis qui doivent prouver le contraire. « Il est clairement possible pour Kaspersky de concevoir des signatures qui permettent de détecter des lignes telles que ‘TS//SI/OC/REL TO USA’ que l’on voit dans des documents US secrets, pour ensuite les télécharger vers la Russie. Si notre gouvernement pense que c’est ça qui se passe, il doit donner des explications », explique Robert Graham, un autre expert en sécurité, dans une note de blog. Le brouillard n’est pas prêt de se lever.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN