Windows piraté, piètre sécurité et auteurs de malware: le rapport de Kaspersky sur l’espionnage de la NSA

Eugene Kaspersky © Reuters
Els Bellens

Kaspersky Lab, qui est accusée aux Etats-Unis d’aider les services secrets russes, a sorti un rapport, dans lequel l’entreprise de sécurité explique qu’il y avait un sérieux problème au niveau de l’ordinateur du sous-traitant de la NSA, qui aurait dévoilé en 2015 des secrets sur le malware utilisé.

Il y a quelques semaines, des journaux américains, dont le Wall Street Journal, annonçaient que les services de renseignements russes avaient pu en 2015 accéder à l’ordinateur d’un sous-traitant de la NSA et ce, via le logiciel Kaspersky qui y était installé. Selon les articles en question, Kaspersky avait aussi copié des documents contenus sur l’ordinateur. Cette nouvelle avait été lancée, après que les autorités américaines aient annoncé vouloir intervenir de manière plus rigoureuse contre l’éditeur de logiciels et interdire par exemple l’installation de logiciels de sécurité Kaspersky sur les ordinateurs des pouvoirs publics aux Etats-Unis. Kaspersky a toujours démenti ces accusations et a notamment proposé que son code-source soit passé au crible. L’entreprise en a entre-temps terminé avec sa recherche technique dans cette affaire et sort donc aujourd’hui son rapport.

Kaspersky y écrit qu’elle a durant cette période examiné le malware créé par l”Equation Group’, probablement un mot de code utilisé par Kaspersky pour désigner la NSA. Lors de cet examen, l’entreprise a recherché des signatures ou ‘hashes’ liés au logiciel d’Equation installé sur des machines faisant tourner Kaspersky.

Le 11 septembre 2014, selon l’entreprise, un logiciel de sécurité a été installé sur un PC ayant une adresse IP à Baltimore, Maryland, une petite ville proche du siège de la NSA. Or cet ordinateur semblait intégrer de nombreuses variantes du malware de l’Equation Group.

De plus, Kaspersky a trouvé sur le PC une archive 7zip contenant de nouvelles variantes du malware d’Equation, qui a été envoyée au Lab. Après analyse, les chercheurs y ont trouvé des outils d’Equation connus et inconnus, mais aussi le code-source du malware et des documents classifiés indiquant que l’ordinateur de Baltimore était probablement la propriété de quelqu’un qui avait écrit le malware et non pas de quelqu’un qui en fut lui-même la victime. Selon le rapport, ce code-source et les documents secrets ont été montrés au fondateur Eugene Kaspersky, qui les fit aussitôt détruire. Pour Kaspersky, ils ne tenaient à jour que les ‘binaries’, à savoir les codes dont ils avaient besoin pour protéger les clients contre ce genre de maliciel.

Un tourniquet

Bel imbroglio: selon Kasperky, l’utilisateur de l’ordinateur a à un moment donné désactivé la protection antivirus pour télécharger et installer une version piratée du progiciel bureautique Windows Office. Cette version piratée intégrait elle-même un malware, Mokes, qui aboutit ensuite aussi sur le système. Ce malware Mokes avait été créé par un hacker russe en 2012 et, afin de compliquer encore quelque peu la situation, aurait été piloté dans la version installée sur cet ordinateur particulièrement infortuné par un pirate en Chine. Lorsque le logiciel de sécurité fut réactivé, il détecta Mokes, mais pas seulement. Sur une période de deux mois, Kaspersky découvrit 128 exemples différents de malware sur ledit ordinateur, qui n’avaient rien à voir avec l’Equation Group.

Conclusion de Kaspersky: ce sous-traitant aurait dû être au courant. “Vu le niveau de menace potentiel pour le propriétaire de l’ordinateur, il est possible qu’il ait été une importante cible pour d’autres pays”, prétend un porte-parole de Kaspersky. “Si on ajoute que l’utilisateur avait manifestement besoin d’une version piratée de Windows Office et qu’il a indûment utilisé son logiciel de sécurité et peut-être aussi des documents confidentiels, il se peut que l’utilisateur ait dévoilé des informations à plusieurs pays.”

A la question de savoir si Kaspersky peut aller fureter comme si de rien n’était dans les ordinateurs des clients, l’entreprise réagit comme suit: “Kaspersky Lab Security Software a, tout comme des solutions similaires de concurrents, accès aux ordinateurs, afin de contrer les infections au malware et de restituer aux utilisateurs légitimes le contrôle des systèmes contaminés. Cet accès permet à nos logiciels de voir tous les fichiers sur les ordinateurs que nous sécurisons.”

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire