Kaspersky avait promis d’enquêter sur les étranges révélations de cet automne : c’est grâce à son antivirus que l’espionnage russe aurait pu récupérer des documents et outils de la NSA. Dans son rapport, l’éditeur s’en défend. D’ailleurs, rien ne prouverait que la machine où sont apparues ces données appartienne à un proche de l’agence.
Bref rappel de la situation. Le renseignement russe serait en possession d’informations sensibles de la NSA, récupérées sur l’ordinateur d’un sous-traitant qui aurait ramené ces informations chez lui, au mépris des protocoles de sécurité les plus élémentaires. C’était du moins ce qui ressortait des premiers éléments, publiés par le Wall Street Journal.
Les agents russes auraient réussi à s’en emparer par l’intermédiaire de Kaspersky, dont l’antivirus, présent sur la fameuse machine, aurait généré les signatures menant à leur reconnaissance. Le fondateur de l’éditeur, Eugene Kaspersky avait indiqué que cette vision simpliste n’était pas réaliste – il l'a qualifiée de « bullshit » – promettant au passage une enquête. Les résultats en sont disponibles depuis la fin de semaine dernière.
Kaspersky insiste : l’antivirus n’a fait que son travail
Plutôt que de parler de NSA, l’éditeur évoque plutôt Equation Group, dont un article récent du New York Times indiquait qu’il n’était autre que la division TAO (Tailored Access Operations) de l’agence américaine. Un point qui ne peut pas être vérifié en l’état.
Que sait-on ? Que l’ensemble des fichiers – documents, binaires et code source – ont été récupérées sur une période de deux mois en 2014 (septembre et octobre essentiellement). L’adresse IP utilisée par l’ordinateur où ces données étaient présentes le situait à Baltimore, à environ 32 km de Fort Meade (Maryland), où se trouve le quartier général de la NSA.
Sur cet ordinateur, Kaspersky a notamment analysé une archive 7zip qui contenait des malwares d’Equation Group. S’agissant de logiciels malveillants, une signature a été générée. L’éditeur précise que l’archive contenait également du code source et quatre documents portant des marques évidentes de classification.
Eugene Kaspersky, alerté par un employé réalisant la vérification manuelle, aurait alors réclamé la suppression immédiate de ces informations, à l’exception des binaires malveillants, en accord avec la politique de l’entreprise. L’occasion de rappeler que les signatures ne sont générées que pour les fichiers dont le caractère malveillant est établi.
Kaspersky affirme qu’aucune intrusion de ses systèmes n’a été commise pendant les « quelques jours » où les fichiers ont été présents sur ses serveurs. Il estime qu’aucun vol n’a eu lieu non plus pendant les transmissions, le duo AES/RSA étant utilisé pour la sécurisation des échanges.
No.
To be clear: it's not confirmed this was a contractor's home PC. I don't count rumors and anonymous sources— Eugene Kaspersky (@e_kaspersky) 16 novembre 2017
Des éléments incohérents
Kaspersky évoque également des éléments troublants, tout en cherchant à démontrer que toute cette histoire pourrait être le fruit d’un malheureux concours de circonstances, en plus d’une hygiène informatique déplorable.
Pour l’éditeur, il est clair qu’à un moment précis, un lecteur amovible – probablement une clé USB – a été introduit dans l’ordinateur, avec à son bord les données d’Equation Group. 22 jours plus tard, l’antivirus était désactivé, a priori pour pouvoir faire fonctionner un « crack » d’Office 2013. Une fois réactivée, la protection a pu vérifier que ledit crack contenait un malware nommé Smoke Loader, possédant notamment des capacités de contrôle à distance.
En fait, selon Kaspersky, rien ne permet d’indiquer que la machine scannée par l’antivirus soit bien celle d’un sous-traitant de la NSA. Les faits évoquent une clé USB, des fichiers très sensibles, une détection et des signatures de malwares. De là à déduire que l’ordinateur appartenait à un agent bien peu scrupuleux, il n’y a qu’un pas que l’éditeur russe refuse de franchir. Et ce d’autant plus que Kaspersky raconte des évènements ayant eu lieu en 2014, alors que grands médias américains parlaient tous de 2015.
Dans cette zone d’ombre pourrait se cacher le salut pour Kaspersky, soumis depuis quelques mois à une intense vague de défiance aux États-Unis, aboutissant à l’interdiction pure et simple de ses produits dans les administrations et agences fédérales. Parce que s’il s’agit bien de la même et unique machine, les autorités américaines sont soit passées à côté de l’infection par Smoke Loader, soit n’en ont pas parlé, alors qu’il s’agit d’une information capitale.
La difficile quête de la transparence
Tout le rapport de Kaspersky semble tendre vers un objectif manifeste : induire un doute raisonnable. L’éditeur a à cœur de montrer ce qui serait un concours de circonstance peu commun, sur la base d’évènements qu’il sera difficile de vérifier.
Car il est évident que le renseignement américain gardera sous silence certaines informations manquantes, comme l’identité de la personne à qui appartenait l’ordinateur. À l’inverse, Kaspersky s’époumone à expliquer que jamais aucun gouvernement n’a été aidé pour obtenir des données. Mais si l’entreprise en avait reçu la demande expresse, sa communication ne serait sans doute guère différente.
Le rapport a-t-il une chance de jouer en faveur de Kaspersky ? Pour les chercheurs en sécurité ou les observateurs hors de toute contrainte géopolitique, peut-être. Les détails précis de l’affaire ne seront probablement jamais connus, mais puisque l’activité commerciale de l’éditeur est en péril, il n’a pas le choix : il doit faire montre de transparence. Pour preuve, la confirmation par Eugene Kaspersky que des fichiers classifiés avaient bien été récupérés avant d'être effacés. Ce que l'entreprise ne pourra jamais vraiment prouver.
Commentaires (11)
#1
Excellent comme scénario pour un film 2.0 :)
#2
Eugene Kaspersky est probablement honnête quand il dit que Kaspersky ne collabore pas avec les services de renseignement russe ou tout autre service de renseignement. Mais ils ont à leur disposition un outil tellement puissant que ce serait de bonne guerre de la part du FSB de vouloir accéder aux données qu’ils possèdent. Comment garantir qu’aucun de leur employé ne travaille pour le FSB (de gré ou sous la contrainte d’ailleurs) ? Ceci dit, ce genre de situation doit se produire exactement de la même manière avec la NSA et les éditeurs d’antivirus américains (voire avec la CIA qui fait de l’intelligence économique)…
#3
Super intéressant et qui prouve assez bien à mon sens et de façon assez détaillée la réalité de l’affaire … Kaspersky était le pigeon parfait pour détourner l’attention ^^
#4
Y’a sûrement moyen que même si ils ne collaborent pas volontairement, le FSB ou autre agence d’espionnage ai des agents infiltrés et en profite … au final c’est celui le plus honnête qui va en pâtir a tous les coup.
#5
Donc, l’antivirus detecte des fichiers malveillants et les envoie sur un serveur de Kapersky comme c’est la politique de l’editeur. So what ?
Le role d’un antivirus est de proteger la machine sur laquelle il est installe.
Mission accomplie.
Kaspersky sont les premiers a avoir rendu publique l’existence d’Equation Group (ceux sont eux qui les ont nomme ainsi) et a avoir accuse la NSA d’etre directement lie a ce groupe des 2015:
https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf
C’est, a mon avis, juste une tentative de payback de la part des agences US pour l’excellent
travail de recherche de Kaspersky.
Et ce n’est pas la premiere fois que la NSA perd son code malvaillant. Leur orgueil en a juste pris un coup
parce qu’ils se sont fait battre par une entreprise privee.
#6
Sur cet ordinateur, Kaspersky a notamment analysé une archive 7zip qui contenait des malwares d’Equation Group. S’agissant de logiciels malveillants, une signature a été générée.
Autrement dit, les fichiers incriminés ont été envoyés aux serveurs de Kaspersky ?
#7
Je doute fortement qu’il existe un acteur de la sécurité informatique mondial qui ne soit pas obligé de collaborer avec une ou plusieurs agences…
Qu’ils n’installent pas de backdoor par défaut ok, qu’ils n’aient aucun compte à rendre c’est peu probable.
#8
Oui, comportement classique de bon nombre d’antivirus, les fichiers binaires sont envoyés aux serveurs de l’éditeur pour analyse, ils parlent en général d’échantillons. On trouve souvent l’option pour désactiver l’envoi.
#9
C’était donc bien ce que je pensais, merci. Je connais le mécanisme en question, mais l’article stipule simplement qu’une signature a été générée. Naîvement, on pourrait penser que l’antivirus génère un hash du fichier et que c’est uniquement ce hash qu’il envoie.
#10
Kaspersky utilise des heuristiques pour détecter de nouveaux virus (par exemple : un programme non signé par un éditeur qui modifie la base de registres pour être chargé automatiquement au démarrage de la machine). Pour la suite, l’existence du KSN comme entité d’analyse n’a jamais été dissimulée.
#11
Quand on sait les efforts des auteurs de malwares pour passer sous le radar des éditeurs d’anti-virus, il est cocasse d’apprendre qu’un employé de la NSA en ait envoyé tout un lot directement chez Kaspersky. Il devait forcément savoir se qui se passerait en les ramenant sur son ordinateur personnel. Des virus tout beaux tout neufs directement dans la base de signatures d’un grand éditeur, alors qu’ils étaient probablement prévu pour un usage ciblé et/ou une propagation à la Stuxnet sur des machines isolées.
Peut-être était-ce intentionnel ! Nous ne connaissons pas son nom, donc nous ne pouvons pas savoir ce qu’il est devenu.