EXCLUSIF: « Il n’est pas confirmé que ce soit le PC domestique d’un agent de la NSA », Kaspersky
Au fil de son enquête, Kaspersky a été amené à isoler une machine où ses produits ont découvert des outils qu'ils ont associés au groupe Equation. Cet ordinateur était infesté de logiciels malveillants. Mais impossible de dire si c’était celui d’un employé de la NSA.
Eugène Kaspersky avait annoncé, début octobre, le lancement d’une enquête interne à la suite d’accusations de collusion avec les services du renseignement russe. Pour mémoire, le New York Times assurait alors que la NSA, l’agence du renseignement américaine, avait découvert que ses homologues russes avaient mis la main sur certaines de ses données grâce à son homologue et allié israélien. Celui-ci se serait, selon nos confrères, invité dans l’infrastructure de Kaspersky. Ces affirmations venaient en compléter de précédentes, et notamment celles du Wall Street Journal, selon lesquelles des pirates russes auraient réussi à prendre connaissance de l’existence de ces données confidentielles grâce à l’antivirus de Kaspersky installé sur l’ordinateur personnel d’un employé de la NSA.
L’éditeur russe a livré, fin octobre, les premiers éléments retirés de son enquête interne. Ils tendaient déjà à confirmer ce que beaucoup suspectaient : les outils de protection de l’éditeur semblent s’être contentés de fonctionner correctement. Les nouveaux éléments publiés ce 16 novembre vont dans le même sens, mais apportent plusieurs détails.
La marque du groupe Equation
Kaspersky assure ainsi que, en 2014, son antivirus a découvert de nouveaux échantillons de maliciels inédits sur un ordinateur aux Etats-Unis, où il était installé. L’antivirus fonctionnait dans sa configuration de base, prévue pour remonter automatiquement à l’éditeur les échantillons inédits. Sur cette machine, « au total, nous avons détecté 37 fichiers uniques et 218 objets, dont des exécutables et des archives contenant des maliciels associés au groupe Equation ». Pour Kaspersky, « un développeur » du groupe avait connecté « un ou plusieurs disques amovibles » à la machine concernée : l’antivirus a fait son travail et « tous les fichiers détectés (y compris les archives dans lesquelles ils étaient contenus) ont été automatiquement transmis » à l’éditeur.
Kaspersky assure que les archives ont été supprimées de ses systèmes de stockage d’échantillons. L’une d’entre elles, en particulier, l’aurait ainsi été sur demande d’Eugène Kaspersky : elle contenait plusieurs exécutables, quatre documents frappés de sceaux de confidentialité, « et d’autres fichiers relatifs au même projet ». Et l’éditeur avance une bonne raison pour supprimer tout cela : « nous n’avons pas besoin d’autre chose que de binaires malveillants pour améliorer la protection de nos clients ». Sans compter les risques potentiels liés à la manipulation de contenus confidentiels : « si ces sceaux étaient authentiques, une telle information ne peut pas et ne sera pas utilisée pour produire des signatures de détection à partir de descriptions ». Kaspersky rappelle au passage comment ces remontées sont sécurisées pour éviter les interceptions.
Une personne peu scrupuleuse
Mais il y avait plus sur cet ordinateur. Un logiciel illégal de contournement des mécanismes de protection contre le piratage de la suite Microsoft Office 2013 y a été installé, début octobre 2014. Il contenait une porte dérobée et, pour le faire fonctionner, l’utilisateur a dû désactiver l’antivirus, pour une durée indéterminée.
Ce logiciel malveillant, de type cheval de Troie, aurait été créé par un pirate russe en 2011, avant d’être commercialisé au marché noir en ligne. « Durant la période de septembre à novembre 2014, les serveurs de commande et de contrôle de ce maliciel étaient enregistrés par une entité présumée chinoise, affichant le nom de Zhou Lou, et se prétendant de la province du Hunan ».
En l’espace de deux mois, l’antivirus y a généré des alertes pour rien moins que 121 maliciels non liés au groupe Equation. Et, prudent, Kaspersky n’exclut pas la présence possible d’autres logiciels malveillants sur ce système « que nos moteurs ne détectaient pas à l’époque ». Et compte tenu des « médiocres pratiques de sécurité » avec lesquelles cette machine a été utilisée, « il est possible que l’utilisateur ait laisser passer de l’information dans d’autres mains ».
Le groupe Equation, une émanation de la NSA ?
Mais alors, tout cela confirme-t-il les liens présumés entre le groupe Equation et la NSA ? Pas de manière totalement irréfutable, à ce stade. Les Etats-Unis se sont bien gardés de confirmer les affirmations de nos confrères outre-Atlantique, d’une manière ou d’une autre.
No.
— Eugene Kaspersky (@e_kaspersky) November 16, 2017
To be clear: it's not confirmed this was a contractor's home PC. I don't count rumors and anonymous sources
Interrogé par la rédaction, Eugène Kaspersky assure lui-même qu’aucune administration ou agence fédérale américaine n’a demandé de détail sur l’ordinateur personnel faisant aujourd’hui l’objet de toutes les attentions. Il explique aussi qu’à sa connaissance, « aucune autre enquête tierce crédible n’a été rendue publique ».
Dans son rapport d’enquête, l’éditeur indique être « confiant » d’avoir trouvé « la source de l’histoire racontée au Wall Street Journal et à d’autres ». Et si les dates ne correspondent pas exactement, « nous pensons que les dates ont été mélangées, ou qu'elles n'étaient pas bien claires pour la source de la fuite aux médias ». L’éditeur ajoute aussi que « compte tenu du niveau potentiellement élevé d’autorisation du propriétaire, l’utilisateur pourrait avoir été une cible de choix pour des états nations ».
Mais toujours en réponse à nos questions, Eugène Kaspersky se montre réservé : « il n’est pas confirmé qu’il s’agissait du PC domestique d’un collaborateur de la NSA ».