Maliciels de la NSA : l’enquête interne de Kaspersky livre de premiers résultats
Ses logiciels auraient détecté des échantillons inédits attribués au groupe Equation sur une machine où était installé un générateur de numéros de série pour Office cachant un cheval de Troie.
Eugène Kaspersky avait annoncé, début octobre, le lancement d’une enquête interne à la suite d’accusations de collusion avec les services du renseignement russe. Pour mémoire, le New York Times assurait alors que la NSA, l’agence du renseignement américaine, avait découvert que ses homologues russes avaient mis la main sur certaines de ses données grâce à son homologue et allié israélien. Celui-ci se serait, selon nos confrères, invité dans l’infrastructure de Kaspersky.
L’enquête de l’éditeur russe tend à confirmer, à ce stade, ce que beaucoup suspectaient : les outils de protection de l’éditeur semblent s’être contentés de fonctionner correctement. Kaspersky assure ainsi que, en 2014, son antivirus a découvert de nouveaux échantillons de maliciel inédit sur un ordinateur aux Etats-Unis, où il était installé. L’antivirus fonctionnait dans sa configuration de base, prévue pour remonter automatiquement à l’éditeur les échantillons inédits. Kaspersky les attribue au groupe Equation soupçonné de liens avec la NSA.
Mais si les échantillons ont atterris entre les mains des services du renseignement russe, et que ceux d’Israël s’en sont aperçus avant d’alerter la NSA, comment est-ce survenu ?
Kaspersky assure de son côté avoir détruit les échantillons et ne les avoir partagé avec personne. Mais son enquête met en évidence la compromission de l’ordinateur concerné par un cheval de Troie caché dans un générateur de numéros de série pour la suite bureautique Office de Microsoft : « pour installer et exécuter ce générateur, l’utilisateur apparaît avoir désactivé les produits Kaspersky sur sa machine », explique l’éditeur, en précisant « pour une période indéterminée ». Des tiers ont pu profiter de cet intervalle et du cheval de Troie pour s’inviter sur l’ordinateur infecté.
Kaspersky assure n’avoir pas trouvé de trace d’intrusion dans son infrastructure autre que celle qu’il a lui-même révélée en juin 2015, après la découverte dans l’un de ses bureaux de ce qu’il appelé Duqu 2.0, en raison de ses similitudes avec Duqu. Ce dernier, observé pour la première en 2011 par l’éditeur russe semble avoir été créé à partir de la même plateforme, dite tilded, que Stuxnet. De quoi renvoyer à nouveau du côté de la NSA. Duqu 2.0 aurait notamment été utilisé contre des pays impliqués dans les négociations sur le programme nucléaire iranien, expliquait un peu plus tard Symantec.
Yes, we've evaluating contractors to have an independent review and confirm our findings
— Eugene Kaspersky (@e_kaspersky) October 25, 2017
Sur Twitter, Eugène Kaspersky indique qu’un examen indépendant, par un tiers de confiance, des éléments d’enquête est prévu, dans le cadre de l’initiative de transparence que l’éditeur vient d’annoncer.