Pourquoi, et comment, les antivirus ont commencé à bloquer les logiciels espions policiers
Le 08 septembre 2022 à 05h04
3 min
Logiciel
Logiciel
NetzPolitik partage un extrait du nouveau livre de Mikko Hyppönen, Chief Research Officer à F-Secure, « If It's Smart, It's Vulnerable », révélant comment il a réussi à faire de sorte que les autres antivirus bloquent les logiciels espion utilisés par les forces de l'ordre et services de renseignement :
« Lorsque les téléphones fixes sont devenus courants, les forces de l'ordre ont voulu avoir le droit de les mettre sur écoute. Après l'apparition des téléphones portables, la police a été autorisée à écouter les réseaux mobiles. Puis sont venues les autorisations de suivre les SMS et les courriels. »
Problème : depuis que les messageries chiffrées sont devenus la norme, ils ont obtenu le droit d'installer des logiciels malveillants sur les appareils des suspects : « ces logiciels contournent le chiffrement, car les messages sont lus avant d'être chiffrés ou après avoir été déchiffrés ».
Or, si les éditeurs d'antivirus aident la police à identifier les cybercriminels, après en avoir discuté avec plusieurs représentants des forces de l'ordre, Hyppönen finit par indiquer, publiquement, que « nous devions protéger nos utilisateurs, quelle que soit l'origine des logiciels malveillants. Notre définition des logiciels malveillants est technique, et non politique ou sociétale : un malware est un logiciel dont l'utilisateur ne veut pas sur son ordinateur ».
Ce pourquoi il fut contacté, en 2011, par le Chaos Computer Club (CCC) allemand, qui avait découvert que l'ordinateur portable d'une personne faisant l'objet de poursuites pour infraction douanière avait été infecté par un logiciel malveillant connu sous le nom de R2D2 ou 0zapft, vraisemblablement installé par des gardes-frontières allemands lorsqu'il avait débarqué à l'aéroport de Munich.
Le CCC avait en effet découvert « un logiciel malveillant complexe fonctionnant en arrière-plan de l'ordinateur et ont surveillé le fonctionnement de quatre programmes : Skype, Firefox, MSN Messenger et le chat ICQ » :
« Le CCC voulait s'assurer que, lorsque l'affaire R2D2 deviendrait publique, une solution antivirus connue et fiable n'hésiterait pas à la reconnaître, ce qui permettrait aux autres entreprises du secteur de suivre plus facilement. »
F-Secure avait alors rajouté à son antivirus la signature de R2D2, et Hyppönen publié dans la foulée un billet de blog expliquant ce pourquoi ils avaient décidé de bloquer ce type de logiciel espion, « même lorsqu'ils sont écrits par des agents de la force publique » :
« Trois heures plus tard, le logiciel antivirus Avast a commencé à supprimer le logiciel malveillant. Une heure après, McAfee a fait de même, suivi de Kaspersky. Dans la soirée du même jour, pratiquement tout le monde avait fait de même. La tactique de la CCC avait fonctionné. »
Le 08 septembre 2022 à 05h04
Commentaires (4)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/09/2022 à 08h33
Clairement, le boulot d’un anti malware est de bloquer les malwares peu importe leur origine pas de faire de la politique.
Après libre aux états à qui ça ne plaît pas d’interdire les solutions “trop efficaces” à leur goût sur leur territoire.
Le dernier paragraphe ne donne d’ailleurs pas spécialement envie de faire confiance aux divers éditeurs cités, s’ils ont tous pu bloquer ce truc en à peine quelques heures c’est qu’ils avaient déja connaissance de son existence, avaient les solutions pour le bloquer, mais choisis sciemment de ne pas le faire.
Après je ne suis pas dupe non plus, cette histoire est aussi un bon moyen de faire de la promo “à pas cher” pour les solutions de F-Secure en cassant du sucre sur le dos de leurs concurrents
Le 08/09/2022 à 08h41
Tu sembles ignorer que les éditeurs d’antivirus partagent entre eux les signatures des malwares.
Il suffit donc que l’un d’entre eux mette une signature dans leur pot commun pour que les autres le détectent et l’éliminent.
Le 08/09/2022 à 11h21
Il me semblais l’avoir entendu il y a longtemps mais ça m’étais sorti de la tête
Cela dit ça n’invalide pas forcément totalement ma remarque, auraient ils tous inclus dans leur base un “malware d’état” si F-Secure ne l’avait pas fait avant eu ?
Le 08/09/2022 à 19h59
Guinness, vous faites de ces records ! S’en est presque saoulant !
Donc comme F-Secure a inclus la signature du malware dans sa base, c’est que forcément, il était un peu complice des forces de l’ordre, car forcément, il connaissait déjà la-dite signature avant.
Et s’il ne l’avait pas fait, par méconnaissance du malware, il était un peu complice des forces de l’ordre.
Face, tu perds. Pile, tu perds.
Faut vraiment avoir bien fumé du shit dans sa jeunesse pour avoir le cerveau aussi ravagé.