Journal d'investigation en ligne et d'information‑hacking
par Rédaction

Comment le gouvernement US bannit Kaspersky pour l'erreur d'un de ses agents

L'histoire rapportée par le Wall Street Journal est très étrange, voire surprenante. Imaginez que l'une des meilleures entreprises de logiciel antivirus au monde soit interdite dans la plus grande démocratie libérale qui soit : les États-unis d'Amérique. Puis que d'autres grandes nations suivent le mouvement. Une sorte de boycott logiciel inter-gouvernemental qui interdit aux administrations d'utiliser un logiciel antivirus spécifique et recommande aux entreprises privées de faire de même…

L'histoire rapportée par le Wall Street Journal est très étrange, voire surprenante. Imaginez que l'une des meilleures entreprises de logiciel antivirus au monde soit interdite dans la plus grande démocratie libérale qui soit : les États-unis d'Amérique. Puis que d'autres grandes nations suivent le mouvement.

Une sorte de boycott logiciel inter-gouvernemental qui interdit aux administrations d'utiliser un logiciel antivirus spécifique et recommande aux entreprises privées de faire de même… Ahurissant. Et pourtant c'est ce qui est en train d'arriver à Kaspersky Labs, la consigne ayant été donnée par le Department of Homeland Security à toutes les agences américaines de désinstaller les solutions de l'éditeur dans les 90 jours. L'article du Wall Street Journal permet de mieux comprendre les raisons de cette décision : la mauvaise hygiène informatique d'un agent d'une entreprise sous-traitante de la NSA, au premier chef. Puis une succession de présupposés éminemment politiques…

Ramener des malwares à la maison, c'est mal

Tout commence en 2015 avec un agent d'une entreprise sous-traitante de la NSA qui copie des logiciels malveillants (malwares) de l'agence gouvernementale américaine sur son ordinateur personnel. Cet ordinateur personnel est équipé du fameux antivirus de Kaspersky qui scanne le disque et repère les malwares.

Les antivirus embarquent différents algorithmes de détection, notamment l'analyse heuristique, qui permet d'identifier de nouvelles formes ou variantes de logiciel malveillants. Lorsque c'est le cas, certaines informations peuvent être envoyées par l'antivirus sur les serveurs de l'éditeur, en particulier des échantillons des logiciels. Dans notre cas, ce sont donc des échantillons des logiciels de la NSA « empruntés » par le sous-traitant qui ont été téléversés sur les serveurs de Kaspersky Labs. Ces pratiques, si elles sont contestables, n'ont rien d'anormal. De nombreux éditeurs de solutions de sécurité et d'antivirus utilisent la « télémétrie » pour améliorer leurs produits, ou pour alimenter leurs analystes en données fraîches.

D'après la source « proche du dossier » citée par le Wall Street Journal, les informations recueillies par l'antivirus auraient permis à des pirates à la solde de la Russie de cibler l'ordinateur du sous-traitant :

« Investigators did determine that, armed with the knowledge that Kaspersky's software provided of what files were suspected on the contractor's computer, hackers working for Russia homed in on the machine and obtained a large amount of information »

« Les enquêteurs ont pu déterminer que, grâce aux connaissances fournies par le logiciel de Kaspersky sur les fichiers suspects sur l'ordinateur du sous-traitant, des hackers travaillant pour la Russie auraient infiltré la machine et obtenu de nombreuses informations »

Or, si l'on comprend aisément comment la présence de ces fichiers sur les serveurs de Kaspersky Labs, l'article du Wall Street Journal n'apporte aucun élément concret permettant permettant de lier Kaspersky Labs et les attaquants russes, mais sous-entend que l'entreprise serait devenue un agent de renseignement.

Pourquoi y a-t-il toujours des hackers russes ?

L'explication en cours de diffusion par les médias américains et reprise par les français, est fortement connotée politiquement. Et pose question techniquement. Plusieurs hypothèses permettraient en effet d'expliquer comment les informations auraient pu tomber entre les mains des attaquants supposés.

Les attaquants auraient pu exploiter une vulnérabilité du logiciel de Kaspersky. Aucun logiciel n'est à l'abri d'exposer des failles, et les antivirus n'y font pas exception. Le Project Zero de Google, rapportait par exemple, en 2015, l'existence de multiples vulnérabilités de Kaspersky permettant à un attaquant d'exécuter du code à distance (RCE).

Une compromission de l'infrastructure de Kaspersky Labs pourrait également être à l'origine de la fuite des informations. En l'occurrence, le réseau de Kaspersky a été infecté par une variante de Stuxnet entre 2014 et 2015.

Le fait que l'antivirus ait repéré les malwares et transmis les informations sur les serveurs de l'entreprise, et que l'ordinateur du sous-traitant ait été piraté pourrait également s'avérer une pure coïncidence. Il n'est pas complètement irraliste d'imaginer qu'un travailleur sous contrat avec la NSA, ayant qui plus est accès à des logiciels sensibles, soit une cible de choix pour des attaquants liés à des services de renseignement.

Enfin, et c'est l'hypothèse que semble retenir la source du Wall Street Journal, une collaboration directe de Kasperky Labs qui aurait transmis les informations recueillies au gouvernement russe.

Dans ce dernier cas, soit les sources du Wall Street Journal ont la preuve d'une collaboration de l'éditeur avec le gouvernement russe en cette affaire, mais ne les ont pas produites. Soit au contraire et assez paradoxalement, c'est l'absence de preuve qui leur fait tirer cette conclusion, sur fond de rumeurs persistantes vis-à-vis de Kaspersky Labs.

En toile de fond, la cyber guéguerre politique et économique ?

Depuis l'affaire du piratage des mails personnels d'Hillary Clinton et du serveur du Parti démocrate, de l'intervention militaire russe en Syrie aux côtés de Bachar el Assad, l'ambiance n'est pas au beau fixe entre administration américaine et russe. Le hacker chinois, a été remplacé par le hacker russe — c'est un fait —et il est désormais légitime de poser la question, bien qu'encore très ouverte, des attributions de piratage basées sur les intérêts économiques et politiques du moment.

En outre, de par leurs activités offensives, les agences de renseignement sont vues par les spécialistes de la sécurité informatique comme des acteurs malveillants contre lesquels il faut se prémunir. Or, au tableau de chasse des chercheurs de Kaspersky Labs, on trouve accrochée la tête d'Equation Group, un groupe soupçonné d'être en lien avec la NSA.

Au fond, après la course à la conquête de l'espace de la guerre froide, il serait intéressant de se demander si ladite conquête ne continue pas, à grands coups d'annonces, de prouesses plus ou moins vérifiables et de dépassement technologique des capacités de l'adversaire, mais désormais dans les tuyaux du réseau mondial. La conquête de l'espace remplacée par celle du « cyber-espace », en gros. Ce qui ne nous renseigne pas plus sur le réalité des accusations à l'encontre de Kaspersky Labs, mais donne une tendance générale plutôt inquiétante : désormais, une entreprise privée peut être accusée de « cyber-malveillance » sans preuves et en payer le prix fort. Parce qu'une administration d'Etat — américaine en l'occurrence — en a décidé ainsi. De là à penser que des concurrents implantés aux Etats-Unis en profiteraient pour ravir la place de leader du marché des antivirus à Kaspersky Labs, il n' y a qu'un pas. Que personne ne franchira, bien entendu.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée