Trevor Paglen
Kaspersky, victime de l’efficacité de ses outils ?
L’éditeur russe s’est à nouveau trouvé au centre de nombreuses attentions à la suite de révélations sur une fuite de données sensibles à la NSA. Le point de départ d’un faux procès ?
Selon le Wall Street Journal, l’agence américaine du renseignement, la NSA, a été victime d’une fuite de données en 2015. Nos confrères affirment ainsi que des pirates russes sont parvenus à mettre la main de données « hautement confidentielles », jusqu’à des échantillons de maliciels. Selon le New York Times, un employé de la NSA aurait tout simplement ramené les données à domicile pour les copier sur son ordinateur domestique, équipé de l’antivirus de Kaspersky. Des pirates russes auraient ciblé cette personne et réussi à prendre connaissance de l’existence des dites données grâce à l’utilisation de cet antivirus. Il n’en fallait pas plus pour relancer, outre-Atlantique, la machine anti-Kaspersky. Mais ce n’est pas aussi simple.
Certes, il n’y a rien d’impossible à ce que l’antivirus de Kaspersky ait effectivement pu reconnaître des échantillons de maliciels sortis de la NSA. Ce serait même souhaitable : en février 2015, Kaspersky mettait en lumière les activités du groupe Equation, actif alors depuis près de vingt ans et qui serait à l’origine d’infections d’ordinateurs dans une trentaine de pays. Un peu plus tard, l’éditeur relevait des composants de la plateforme logicielle du groupe dont le nom renvoyait à la NSA. Si les liens entre Equation et l’agence américaine sont bien réels, alors il apparaît légitime d’espérer que l’antivirus de Kaspersky – sans compter ses concurrents – soit capable d’en détecter au moins certains outils. Certains ne manquent d’ailleurs pas d’ironiser : « pour une fois qu’un antivirus fonctionne, il y en a encore pour se plaindre ! »
What I make from the WSJ article is there is a growing list of NSA ppl (Hal Martin etc.) bringing their work stuff back home.
— Matthieu Suiche (@msuiche) October 6, 2017
Surtout, nos confrères laissent là grande ouverte la porte à toutes les spéculations, ne fournissant que peu de détails sur l’épisode, et encore moins d’éléments susceptibles d’être étudiés de manière indépendante.
Problem with a lot of these Kaspersky allegations is there's a lot of "belief" and not a whole lot of facts. In other words, trying to fit a narrative.
— Greg Baumbach (@dragoniv_greg) October 5, 2017
En fait, pour peu que l’on veuille bien l’entendre, la communauté de la sécurité informatique apparaît rangée derrière l’idée que Kaspersky n’a pas aidé les services de renseignement russe.
Et les raisons de penser ainsi ne manquent pas. Tout d’abord, les outils de Kaspersky, pour soignés qu’ils puissent être, ne sont pas exempts de défauts. Et justement, Tavis Ormandy, du projet Zéro de Google, avait levé le voile en septembre 2015 sur une vulnérabilité affectant l’antivirus permettant de forcer l’exécution à distance de code malveillant. En novembre 2016, c’est une autre vulnérabilité qui a été révélée, permettant cette fois-ci des interceptions dans les flux sortants chiffrés de l’antivirus, ceux utilisés pour la remonté d’échantillons. Et ce n’est pas un cas totalement isolé : cet été, Cb Response, de Carbon Black, a été mis à l’index pour ses mécanismes de remontée d’échantillons. Pour autant, les vulnérabilités des produits de l’éditeur russe ont été corrigées depuis.
Consensus on infosec Twitter is that Kaspersky may not have colluded with RU gov; just maybe their product may be horrendously compromised.
— Matthew Green (@matthew_d_green) October 5, 2017
Mais Kaspersky lui-même a déjà été visé par le passé, comme il l’a révélé en juin 2015. C’était après qu’il ait découvert dans l’un de ses bureaux en région Asie-Pacifique un échantillon de ce qu’il a appelé Duqu 2.0, en raison de ses similitudes avec Duqu. Ce dernier, observé pour la première en 2011 par l’éditeur russe semble avoir été créé à partir de la même plateforme, dite tilded, que Stuxnet. De quoi renvoyer à nouveau du côté de la NSA. Duqu 2.0 aurait notamment été utilisé contre des pays impliqués dans les négociations sur le programme nucléaire iranien, expliquait un peu plus tard Symantec.
Rien ne dit non plus que des pirates n’ont pas tout simplement attaqué leur cible par hameçonnage ciblé, en utilisant des vulnérabilités totalement étrangères aux outils de Kaspersky… Des alertes remontées par ceux-ci pourraient alors leur avoir mis la puce à l’oreille, alors qu’ils étaient déjà confortablement installés.