C’est la trame du parfait roman d’espionnage : Eugène Kaspersky, un mathématicien russe diplômé de la faculté de mathématiques de la Haute Ecole du KGB et ex-ingénieur du ministère de la défense, crée l’un des meilleurs éditeurs d’antivirus au monde, Kaspersky Lab. Mais en réalité, il ne s’agit là que d’une brillante devanture permettant aux services secrets russes d’accéder en douce aux données de ses 400 millions clients dans le monde, dont des entreprises et des agences gouvernementales.
Aux Etats-Unis, ce synopsis est loin d’être considéré comme de la fiction. Depuis des mois, la probité de l’éditeur est mise en doute à coup de révélations médiatiques et de mise à l’index. Désormais, les logiciels Kaspersky ne sont plus autorisés dans les agences fédérales des Etats-Unis. Ils ont également disparu des rayons de Best Buy et d’Office Depot.
Un nouveau sommet de suspicion a été atteint ces deux dernières semaines. Le 5 octobre, The Wall Street Journal a révélé que la NSA s’est fait voler des outils de piratage qu’un consultant aurait rapporté chez lui, probablement pour « continuer son travail en dehors des horaires de bureau ». Le vol a eu lieu en 2015, mais il n’a été découvert qu’au printemps 2016. Selon des enquêteurs américains, des hackers russes auraient réussi à localiser et subtiliser ces données secrètes grâce à l’antivirus Kaspersky. Celui-ci était installé sur l’ordinateur personnel de ce consultant et aurait – on ne se sait pas trop comment – détecté la présence de ces données et notifié les hackers russes. Dès lors, ces derniers n’avaient plus qu’à pirater cet ordinateur et tendre la main pour engranger le jackpot.
Le 10 octobre, des articles de New York Times et Washington Post confortent de manière encore plus délirante cette histoire. D’après leurs sources, l’Etat américain a été alerté sur ce vol de données par les services secrets israéliens. En 2014, les hackers israéliens se seraient introduits dans le réseau de l’éditeur où ils auraient détecté la présence concomitante de hackers à la solde de Poutine. Une situation assez cocasse qui aurait permis aux premiers d’observer tranquillement les seconds. Et d’après les Israéliens, les hackers russes se seraient servi de l’antivirus Kaspersky pour scanner les machines des clients et rechercher des documents confidentiels. En particulier, ils auraient vu passer en 2015 des données qui ne pouvaient appartenir qu’à la NSA, d’où l’alerte qui a suivi. Bref, l’antivirus Kaspersky aurait rempli le rôle d’un « Google pour documents sensibles ».
Chaque antivirus est aussi une backdoor
D’un point de vue strictement technique, ce scénario est tout à fait possible. Les antivirus peuvent, par définition, analyser n’importe quel fichier dans les systèmes sur lesquels ils sont installés. Quand un antivirus tombe sur un fichier malveillant ou douteux, une alerte est généralement envoyée à l’éditeur et le fichier est mis en quarantaine. Dans certains cas, une copie dudit fichier est même envoyée vers les serveurs de l’éditeur, à des fins d’analyses approfondies. N’importe quel antivirus peut donc être considéré comme une porte dérobée que l’utilisateur installe de manière volontaire.
Cette capacité d’analyse pourrait, en théorie, être détournée. Un logiciel qui sait trouver des malwares pourrait aussi trouver autre chose, à condition d’être reprogrammé ou manipulé. Selon The Washington Post, Kaspersky disposerait justement d’un outil baptisé « silent signatures » qui « opère en douce » sur les ordinateurs des clients et qui pourrait être manipulé de telle sorte à ce qu’il permette de « chercher des documents potentiellement sensibles sur les ordinateurs, en utilisant des mots-clés ou des acronymes ». Pour sa part, Kaspersky a expliqué qu’il s’agissait là surtout d’une technique pour optimiser la détection de malware et réduire les faux positifs. L’éditeur a d’ailleurs déposé un brevet en 2010. A la lecture de ce document, il n’est pas évident de voir en quoi les « silent signatures » pourraient constituer un vecteur d’attaque particulièrement intéressant.
Néanmoins, d’après un autre article du Washington Post, les services secrets américains auraient étudié le logiciel antivirus « pendant de nombreux mois » et même réalisé des tests. Ils auraient pris un ordinateur doté de Kaspersky et essayé de provoquer une détection de données top secrètes. Les résultats de ces expériences auraient montré que le logiciel serait effectivement utilisé comme un moteur de recherche pour espions. Malheureusement, aucun détail technique sur le protocole de test n’a été fourni. Comment ces expériences pouvaient-elle mettre en évidence une telle détection?
Des doutes et des certitudes
Face à ce manque de détails et cette accumulation de sources anonymes, la question de la crédibilité de toutes ces révélations se pose. L’aspect le plus douteux est sans doute celui du consultant de la NSA qui se fait pirater chez lui. « Je n’y crois pas. Les gens qui ont des habilitations de sécurité savent pertinemment qu’ils ne doivent pas emporter des documents classifiés à la maison. Ce n’est pas quelque chose qui est mentionné de temps en temps, c’est une partie essentielle de leur mission », souligne ainsi Bruce Schneier, le célèbre cryptographe.
De son côté, l’office allemand pour la sécurité informatique, le Bundesamt für Sicherheit in der Informationstechnik (BSI), a expliqué dans un communiqué « ne pas disposer d’éléments » confirmant des activités d’espionnage russe au travers des antivirus Kaspersky. Pourtant, l’organisme souligne être en contact avec ses homologues américains. Faute de preuves, il ne prévoit pas de diffuser une alerte sur les produits Kaspersky, en tous les cas pour le moment. De même, aucune alerte concernant Kaspersky n’a été émise de la part de l’ANSSI, l’homologue française du BSI.
Ce qui semble certain, en revanche, c’est que les services israéliens ont bien séjourné dans le réseau de l’éditeur. En 2015, celui-ci a détecté dans son réseau un logiciel d’espionnage particulièrement furtif qu’il a baptisée Duqu 2.0 et dont le code était intimement lié à celui de Stuxnet, le célèbre malware de sabotage créé par les services américains et israéliens. Mais quid des hackers russes ? Selon The New York Times, les services israéliens auraient fourni à leurs homologues américains des preuves irréfutables des opérations russes sous la forme « de copies d’écrans et d’autres documents ». Mais il y a peu de chance que ces preuves – si elles existent – soient rendues publiques un jour.
Un nouvel audit est en cours
De son côté, Eugene Kaspersky souligne que l’éditeur a réalisé, suite à la découverte de Duqu 2.0, un audit en profondeur de son infrastructure et n’a pas trouvé trace d’un autre acteur. Il a néanmoins annoncé la conduite d’un « nouvel audit en profondeur », histoire de vérifier. Si cette opération russe a réellement existé, la question que tout le monde se pose est évidemment le degré de complicité de l’éditeur. A-t-il volontairement aidé les hackers russes ? Etait-il contraint de le faire ? Ou bien l’opération a-t-elle été réalisée sans qu’il soit au courant ? A moins qu’elle se soit appuyée sur l’aide de quelques agents infiltrés ?
Une chose est sûr, c’est que dans le domaine de l’espionnage inter-étatique, tout est possible. Les révélations d’Edward Snowden ont montré que les Etats-Unis pouvait contraindre leurs fournisseurs de services informatiques à collaborer avec eux dans des opérations de cybersurveillance sans qu’ils aient le droit d’en parler (programme Prism). Pourquoi la même chose ne serait-elle pas possible en Russie où la pression gouvernementale est considérable ? Le chercheur en sécurité The Grugq souligne ainsi de façon ironique qu’Eugene Kaspersky n’a aucune raison de cacher la présence d’éventuels hackers russes, sauf s’il craint « le thé au polonium »…
Indeed he could. And unless he was complicit, then he’d have no reason not to expose that. Except for polonium tea, I guess.
— thaddeus e. grugq (@thegrugq) October 12, 2017
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.