L’affaire, aux confins de la sécurité informatique et du renseignement, sur fond de tensions russo-américaines, est ultrasensible et de plus en plus alambiquée. Depuis des semaines, les autorités américaines reprochent à l’éditeur russe de logiciels de sécurité Kaspersky de permettre à la Russie, volontairement ou non, d’espionner les Etats-Unis. Pour tenter de dissiper les soupçons et après l’annonce, lundi, d’une opération visant à la transparence en ce qui concerne ses logiciels, l’entreprise a publié mercredi 25 octobre un premier compte rendu d’une enquête interne. Une première dans le secteur, signe de l’extrême nervosité de l’entreprise face à ces accusations.
L’enquête a été lancée après que les médias américains ont évoqué le rôle potentiel de l’entreprise russe dans la perte, par la NSA, puissante agence de renseignement américaine, d’outils très sophistiqués d’espionnage informatique au profit d’espions russes. Selon plusieurs médias, une personne travaillant pour la NSA aurait rapporté à son domicile certains des outils d’espionnage sur lesquels elle travaillait. Une fois qu’ils auraient été déposés sur son ordinateur personnel, l’antivirus de Kaspersky, présent sur la machine, les aurait aspirés pour les analyser, avant qu’ils soient récupérés, avec ou sans le consentement de la firme, par les services de renseignement russes.
Les investigations réalisées en interne corroborent en partie ce scénario.
Kaspersky a bien récupéré un outil de la NSA
Pour comprendre, il faut savoir qu’une des activités de l’entreprise russe, comme c’est le cas pour une vingtaine d’autres sociétés comparables dans le monde, consiste à décortiquer et analyser les virus les plus sophistiqués, parfois créés par des Etats pour des opérations d’espionnage. En 2015, Kaspersky a d’ailleurs révélé l’existence de certaines activités d’espionnage informatique de ce qu’elle nomme alors « le groupe Equation ». Dans l’industrie, un consensus se forme rapidement : cette équipe d’espions de haute volée n’est autre que l’unité d’élite de la NSA.
Pour mettre la main sur tout ou partie d’un logiciel malveillant, les firmes comme Kaspersky utilisent principalement leur parc d’utilisateurs : chaque antivirus installé peut envoyer automatiquement sur les serveurs de l’entreprise des portions de code potentiellement malveillantes pour analyse. Avec ses 400 millions d’utilisateurs, Kaspersky dispose donc d’un grand nombre de sources potentielles pour découvrir de nouvelles souches de virus.
C’est, affirme-t-elle dans son enquête interne, ce qu’il s’est passé à l’automne 2014. Alors qu’elle enquêtait sur le groupe Equation, l’entreprise a détecté, sur l’ordinateur de l’un de ses utilisateurs, des traces du groupe qu’elle n’avait jamais vues auparavant.
Comme toujours dans ce type de situation, Kaspersky a automatiquement récupéré ces éléments. Lorsqu’ils sont arrivés entre les mains de l’un de ses analystes, ce dernier s’est aperçu qu’il y figurait le code source d’un des outils du groupe. Il est plus que rarissime que des analystes en logiciels malveillants, qui travaillent la plupart du temps sur la base de traces laissées par ces programmes ou des versions finalisées, obtiennent le code source de l’objet de leur étude, surtout lorsqu’ils opèrent sur des groupes très compétents et discrets.
Récupérer ainsi l’équivalent de la recette de cuisine d’un chef triplement étoilé revient à mettre la main sur un des secrets industriels de la NSA. Selon Eugene Kaspersky, le PDG de l’entreprise interrogé par l’agence Associated Press, le code source comportait même des indications montrant qu’il était classifié.
L’analyste qui a fait cette découverte est allé avertir M. Kaspersky, toujours selon le compte rendu qu’en fait l’entreprise. Ce dernier a ordonné la suppression de ce code source des serveurs maison. Lundi, M. Kaspersky affirmait en effet dans nos colonnes supprimer « la moindre information classifiée » qui se retrouverait dans ses systèmes.
Une explication qui concorde – en partie seulement – avec les allégations des services de sécurité cités par les médias américains, selon lesquels Kaspersky a bel et bien récupéré des armes électroniques de la NSA. Elle tend toutefois à l’absoudre de l’une des accusations formulées par ces services, selon lesquels l’entreprise aurait volontairement recherché des documents classifiés appartenant à la NSA.
Cette enquête préliminaire n’explique cependant pas pourquoi la société et son PDG ont affirmé à plusieurs reprises ne jamais avoir eu de tels éléments entre les mains lorsque les médias américains ont révélé l’affaire, alors qu’Eugene Kaspersky était directement impliqué dans l’incident.
Le hackeur d’élite ne voulait pas payer Microsoft Office
L’enquête interne ne permet pas non plus de comprendre comment le renseignement russe a récupéré, comme l’affirment plusieurs médias, les outils découverts par Kaspersky. L’entreprise assure ne jamais avoir partagé le code source de l’outil de la NSA avec quiconque.
Un autre élément issu de cette enquête est de nature à brouiller un peu plus les pistes. Selon la société, en plus des outils de la NSA, l’antivirus a détecté sur l’ordinateur de son utilisateur un programme malveillant plus classique, moins sophistiqué et bien connu de diverses entreprises de sécurité.
A-t-il pu être utilisé par les services russes pour récupérer à leur tour les outils de la NSA ? Possible, mais pas certain : le logiciel retrouvé ressemble à un programme utilisé à des fins plus criminelles qu’étatiques. Kaspersky a en tout cas intérêt à laisser ouverte la possibilité que les services russes se soient servis de cette porte d’entrée. Les autres options – complicité interne ou piratage de ses réseaux – sont bien plus compromettantes pour la société.
Un élément supplémentaire, rendu public par Kaspersky, serait accablant pour la NSA s’il venait à être confirmé, et déplacerait la responsabilité du fiasco sur les épaules de l’employé qui a ramené chez lui les outils sur lesquels il travaillait. Selon l’entreprise russe, c’est en installant une version piratée de Microsoft Office que le virus retrouvé sur son ordinateur aux côtés de l’outil de la NSA a été installé.
Qu’un hackeur d’élite de la plus puissante agence de renseignement du monde trouve judicieux de stocker des outils ultrasensibles sur son ordinateur personnel est déjà surprenant. Qu’il prenne le risque d’installer sur le même ordinateur une version piratée d’un logiciel grand public, un vecteur bien connu de logiciels malveillants, défie l’entendement. S’il avait voulu qu’un service concurrent du sien se procure ces outils, il ne s’y serait pas pris autrement.
Voir les contributions
Réutiliser ce contenu
