Pourquoi, et comment, les antivirus ont commencé à bloquer les logiciels espions policiers

Pourquoi, et comment, les antivirus ont commencé à bloquer les logiciels espions policiers

Pourquoi, et comment, les antivirus ont commencé à bloquer les logiciels espions policiers

Par Sébastien Gavois

Le 08 septembre 2022 à 05h04
Logiciel
3 min

NetzPolitik partage un extrait du nouveau livre de Mikko Hyppönen, Chief Research Officer à F-Secure, « If It's Smart, It's Vulnerable », révélant comment il a réussi à faire de sorte que les autres antivirus bloquent les logiciels espion utilisés par les forces de l'ordre et services de renseignement : 

« Lorsque les téléphones fixes sont devenus courants, les forces de l'ordre ont voulu avoir le droit de les mettre sur écoute. Après l'apparition des téléphones portables, la police a été autorisée à écouter les réseaux mobiles. Puis sont venues les autorisations de suivre les SMS et les courriels. »

Problème : depuis que les messageries chiffrées sont devenus la norme, ils ont obtenu le droit d'installer des logiciels malveillants sur les appareils des suspects : « ces logiciels contournent le chiffrement, car les messages sont lus avant d'être chiffrés ou après avoir été déchiffrés ».

Or, si les éditeurs d'antivirus aident la police à identifier les cybercriminels, après en avoir discuté avec plusieurs représentants des forces de l'ordre, Hyppönen finit par indiquer, publiquement, que « nous devions protéger nos utilisateurs, quelle que soit l'origine des logiciels malveillants. Notre définition des logiciels malveillants est technique, et non politique ou sociétale : un malware est un logiciel dont l'utilisateur ne veut pas sur son ordinateur ».

Ce pourquoi il fut contacté, en 2011, par le Chaos Computer Club (CCC) allemand, qui avait découvert que l'ordinateur portable d'une personne faisant l'objet de poursuites pour infraction douanière avait été infecté par un logiciel malveillant connu sous le nom de R2D2 ou 0zapft, vraisemblablement installé par des gardes-frontières allemands lorsqu'il avait débarqué à l'aéroport de Munich.

Le CCC avait en effet découvert « un logiciel malveillant complexe fonctionnant en arrière-plan de l'ordinateur et ont surveillé le fonctionnement de quatre programmes : Skype, Firefox, MSN Messenger et le chat ICQ » : 

« Le CCC voulait s'assurer que, lorsque l'affaire R2D2 deviendrait publique, une solution antivirus connue et fiable n'hésiterait pas à la reconnaître, ce qui permettrait aux autres entreprises du secteur de suivre plus facilement. »

F-Secure avait alors rajouté à son antivirus la signature de R2D2, et Hyppönen publié dans la foulée un billet de blog expliquant ce pourquoi ils avaient décidé de bloquer ce type de logiciel espion, « même lorsqu'ils sont écrits par des agents de la force publique » : 

« Trois heures plus tard, le logiciel antivirus Avast a commencé à supprimer le logiciel malveillant. Une heure après, McAfee a fait de même, suivi de Kaspersky. Dans la soirée du même jour, pratiquement tout le monde avait fait de même. La tactique de la CCC avait fonctionné. »

Commentaires (4)


Guinnness
Le 08/09/2022 à 08h33

Notre définition des logiciels malveillants est technique, et non politique ou sociétale : un malware est un logiciel dont l’utilisateur ne veut pas sur son ordinateur




Clairement, le boulot d’un anti malware est de bloquer les malwares peu importe leur origine pas de faire de la politique.
Après libre aux états à qui ça ne plaît pas d’interdire les solutions “trop efficaces” à leur goût sur leur territoire.



Le dernier paragraphe ne donne d’ailleurs pas spécialement envie de faire confiance aux divers éditeurs cités, s’ils ont tous pu bloquer ce truc en à peine quelques heures c’est qu’ils avaient déja connaissance de son existence, avaient les solutions pour le bloquer, mais choisis sciemment de ne pas le faire.
Après je ne suis pas dupe non plus, cette histoire est aussi un bon moyen de faire de la promo “à pas cher” pour les solutions de F-Secure en cassant du sucre sur le dos de leurs concurrents


fred42 Abonné
Le 08/09/2022 à 08h41

Guinnness a dit:


Le dernier paragraphe ne donne d’ailleurs pas spécialement envie de faire confiance aux divers éditeurs cités, s’ils ont tous pu bloquer ce truc en à peine quelques heures c’est qu’ils avaient déja connaissance de son existence, avaient les solutions pour le bloquer, mais choisis sciemment de ne pas le faire.




Tu sembles ignorer que les éditeurs d’antivirus partagent entre eux les signatures des malwares.



Il suffit donc que l’un d’entre eux mette une signature dans leur pot commun pour que les autres le détectent et l’éliminent.


Guinnness
Le 08/09/2022 à 11h21

:chinois: Il me semblais l’avoir entendu il y a longtemps mais ça m’étais sorti de la tête :oops:



Cela dit ça n’invalide pas forcément totalement ma remarque, auraient ils tous inclus dans leur base un “malware d’état” si F-Secure ne l’avait pas fait avant eu ?


ungars
Le 08/09/2022 à 19h59

Guinness, vous faites de ces records ! :mdr2: S’en est presque saoulant ! :mdr2:



Donc comme F-Secure a inclus la signature du malware dans sa base, c’est que forcément, il était un peu complice des forces de l’ordre, car forcément, il connaissait déjà la-dite signature avant.
Et s’il ne l’avait pas fait, par méconnaissance du malware, il était un peu complice des forces de l’ordre.



Face, tu perds. Pile, tu perds.



Faut vraiment avoir bien fumé du shit dans sa jeunesse pour avoir le cerveau aussi ravagé.


Fermer