3 théories sur le rôle de Kaspersky dans le piratage de la NSA

Kaspersky lutte pour sa survie après les publications explosives du Wall Street Journal, qui ont révélé que des hackers travaillant pour le renseignement russe sont parvenus à obtenir des informations confidentielles de la NSA.


Au cœur de cette affaire, on retrouve l’histoire d’un contractant de la NSA travaillant sur le développement d’outils utilisés pour les opérations informatiques de l’agence. En 2015, celui-ci aurait ramené chez lui plusieurs documents confidentiels et les aurait consultés sur son ordinateur, qui disposait d’une version de l’antivirus Kaspersky installé. L’article du WSJ expliquait alors que l’employé aurait été visé par une attaque, le renseignement russe ayant identifié les documents en question via le logiciel antivirus.

 

Parmi les données volées se trouvaient des informations sur la façon dont les services secrets américains « s’attaquent aux réseaux informatiques étrangers, le code source des outils utilisés pour ce type d’espionnage ainsi que les techniques utilisées pour défendre les réseaux nationaux. » Ce type de donnée ne pourrait pas simplement aider la Russie à se défendre contre les attaques américaines, mais pourrait aussi être théoriquement utilisé contre les systèmes américains.


L’attaque a été décrite comme « l’une des brèches de sécurité les plus importantes » de ces dernières années. Tout ceci aurait sûrement pu être évité si l’employé de la NSA n’avait pas ramené de travail à la maison.


C’est une histoire compliquée, mais qui s’abstient de répondre à une question épineuse : quel est le rôle joué par Kaspersky dans cette attaque, si celui-ci existe ?

Bien que le gouvernement américain semble vouloir faire croire que Kaspersky n’est rien de plus que le bras armé du Kremlin, rien dans l’article ni dans les déclarations du gouvernement n’a permis d’en avancer la preuve. Ceci étant dit, cette simple accusation pourrait à elle seule venir justifier le ban qui vise Kaspersky dans les agences américaines depuis plusieurs semaines.

Face à cela, Kaspersky dément être en lien avec un gouvernement, quel qu’il soit, Kremlin y compris. Mais il n’y a évidemment aucun moyen de savoir si l’éditeur antivirus dit la vérité. Eugene Kaspersky, le dirigeant de la société éponyme, a également critiqué l’article pour son utilisation de sources anonymes. Il est néanmoins souvent nécessaire de protéger les sources qui abordent des sujets liés à la sécurité nationale.

Nous avons dénombré trois théories plausibles en nous basant sur le travail et les déclarations de plusieurs experts et chercheurs en sécurité.

Théorie n°1 : les hackers ont exploité une faille au sein de l’antivirus de Kaspersky pour voler des données


Le Wall Street Journal ne précise à aucun moment que Kaspersky en tant qu’entreprise a joué un rôle dans ce vol de données, mais laisse entendre qu’un produit de Kaspersky pourrait avoir été exploité afin de pirate la machine sur lequel il était installé.

Dans un tweet, Eugene Kaspersky s’est dit « particulièrement inquiet » de cette possibilité.
Les antivirus et produits de sécurité, de façon assez ironique, sont connus pour leurs nombreux bugs. Ce sont des programmes généralement compliqués et assemblent différents modules, ce qui peut au final étendre la surface d’attaque. Dans les deux années précédentes, Kaspersky a ainsi corrigé plusieurs failles pouvant permettre à des attaquants de provoquer un déni de service ou d’accéder à un système.

D’autres produits sont tout aussi vulnérables. Le système anti malware de Microsoft a ainsi été victime de plusieurs failles particulièrement graves. Dans certains cas, les logiciels antivirus s’attaquent même à leurs propres systèmes par erreur. Récemment, le chercheur Tavis Ormandy a ainsi découvert une faille de sécurité exploitable à distance au sein de l’antivirus Kaspersky. Celle-ci a été corrigée en moins d’une journée.

Mais cette théorie ne fonctionne que si les hackers russes connaissaient leurs cibles ou s’ils savaient que celui-ci utilisait une version obsolète de l’antivirus Kaspersky et comment exploiter les failles.

L’autre possibilité est de relier cette affaire au piratage dont a été victime Kaspersky dans le courant de l’année, qui n’a été attribué à aucun groupe ou État-nation. C’est ce piratage qui pourrait avoir été à l’origine de l’accès à la machine de l’employé de la NSA. « Les entreprises du secteur high-tech, notamment les équipes de sécurité, continuent de constituer des cibles juteuses et souvent accessibles pour les infiltrations sous couverture », explique ainsi Thomas Rid, professeur à John Hopkins.

Si le logiciel a été piraté ou exploité, cela pourrait innocenter Kaspersky, mais la société aurait encore beaucoup d’aspects à éclaircir. Dans tous les cas, le Wall Street Journal semble douter de cette théorie. Selon l’article, le logiciel de Kaspersky « a alerté des pirates russes de la présence de fichiers qui pourraient avoir été tirés des serveurs de la NSA. »

Théorie n°2 : Kaspersky a détecté des malwares, des espions russes sont intervenus

Une hypothèse plus probable serait que l’antivirus de Kaspersky a détecté l’un des malwares de la NSA, une fois celui-ci sorti de l’enceinte de l’agence et celui-ci a été signalé par le logiciel. « Selon plusieurs experts, le logiciel pourrait avoir découvert des malwares connus en scannant les données ramenées par le contractant des serveurs de la NSA », explique l’article.


Il n’y a rien de surprenant à ce qu’un produit Kaspersky reconnaisse des malwares connus ou des outils de piratage ayant un comportement similaire. La société, comme tant d’autres, possède un important volume de signatures appartenant à des outils de piratage de la NSA, dont des malwares connus tels que Stuxnet. Les outils utilisés par le groupe connu sous le nom d’Equation Group, soupçonné d’être une unité de la NSA, ont été publiés par un groupe connu sous le nom de Shadow Brokers. Ces derniers ont mis aux enchères des outils dérobés à ce groupe. Kaspersky était l’une des premières sociétés à détecter les agissements de l’Equation Group.

Les produits de Kaspersky passent aux cribles les fichiers et copient vers le cloud de la société les fichiers dont le comportement est jugé malveillant. De nombreux éditeurs d’antivirus utilisent une méthode similaire, Windows Defender pour ne citer que lui, afin de ne pas consommer trop de ressources systèmes, mais aussi afin de donner aux chercheurs la possibilité d’accéder aux fichiers malveillants.

Dans un tweet, l’ancien employé du GCHQ Matt Tait a ainsi déclaré « Si ce sont des signatures d’implants de la NSA et d’exploits de la NSA, alors Kaspersky se contente ici de faire son travail. Et cela n’a rien à voir avec une hypothétique connexion entre la Russie et Kaspersky »

Des questions subsistent néanmoins : comme des attaquants en lien avec le renseignement russe ont-ils pu accéder à ces données ?

Dans le cas de Kaspersky, les données sont très probablement envoyées vers des serveurs hébergés par Kaspersky sur le sol russe. Le Wall Street Journal remarque que la société est soumise à la loi russe en la matière, qui permet au gouvernement de « forcer la société à assister les efforts du gouvernement en matière d’interception des communications transitant par les réseaux d’information russes. »

Une approche similaire à ce qui a été mis en place aux Etats-Unis, où les lois sur la surveillance étrangères sont fréquemment détournées pour permettre une surveillance sur le sol national. Il est donc simplement possible que les autorités russes aient intercepté ces données lors de leur transit sur les réseaux russes, avec ou sans l’aide directe de Kaspersky. Certains ont fait valoir le fait qu’une faille de sécurité de la part de Kaspersky en la matière serait finalement « la même chose » qu’une association avec le gouvernement russe.


« Si vous choisissez de rediriger du trafic via un pays hostile qui l’intercepte et l’utilise ensuite pour lancer une attaque, vous l’avez bien mérité », a ainsi tweeté Matthew Green, professeur et cryptologue.


De son côté, Eugene Kaspersky a rappelé dans un communiqué que sa société était « prise au beau milieu d’une lutte géopolitique » entre les États Unis et la Russie.

Théorie n° 3 Kaspersky a détecté et volé des malware pour le compte de la Russie.

L’autre alternative est que les outils de Kaspersky ont trouvé et transféré les outils de piratage de la NSA qui avaient été ramené par le contractant et que l’entreprise a par la suite décidé de creuser un peu plus.

« La découverte initiale des outils de la NSA a mené à de nouvelles découvertes, la société utilisant alors ses outils précisément dans le but qu’ils leur ont fixé » a écrit Marcy Wheeler, qui rédige un blog sur la sécurité nationale. Si l’employé de la NSA « a transféré toutes ces informations à Kaspersky, alors cela expliquerait sûrement les larges connaissances de Kaspersky » au sujet des outils de la NSA.

Mais cela n’explique pas comment le gouvernement russe a pu mettre la main sur ça.

Si cette théorie se confirme, alors la société est finie. De son côté, Kaspersky dément depuis longtemps les rumeurs de connexion avec les services gouvernementaux.
Dans tous les scénarios possibles, il semble difficile de voir comment Kaspersky pourra s’en sortir indemne. L’étendue exacte des dommages est encore inconnue.
En envisageant le pire, on peut estimer que des allégations de ce type, si elles venaient à être vérifiées, ne seraient pas uniquement dramatiques pour la société, mais pour l’industrie dans son ensemble.

Les sociétés de cybersécurité travaillent régulièrement avec les organisations étatiques afin de lutter contre le cybercrime. Mais si les gouvernements abusent de ces relations, ils pourraient se retrouver dans une situation ou les entreprises sont contraintes de travailler pour les services de renseignement. Une situation qui n’est pas sans rappeler le programme Prism, qui permettait de forcer les entreprises américaines à fournir leurs données.


Ce qui est clair, c’est que le dénouement de cette histoire pourrait couler Kaspersky. Mais avec aussi peu de preuves des différents côtés, il paraît plus sage de garder l’esprit ouvert en attendant de nouveaux éléments.

Cet article est une traduction de « What is Kaspersky’s role in NSA data theft? Here are three likely outcomes » initialement publié sur Zdnet.com

ZDNet