Trop efficace ? L’antivirus russe Kaspersky capable de débarrasser la NSA… de ses propres malwares

NSA

Accusé d’espionnage pour le compte du Kremlin, le développeur d’antivirus a révélé les premiers résultats de son enquête interne.

Résultat : Kaspersky a effectivement aspiré des données de la NSA… car celles-ci présentaient les signes de malwares.

Banni des administrations américaines par Washington en juillet 2017, pour cause de proximité avec le renseignement russe et de soupçons de piratage la NSA, le fabricant russe de logiciels anti-virus Kaspersky Lab a publié le 25 octobre les résultats d’une enquête interne répondant aux accusations de la General Services Administration (GSA, une agence indépendante du gouvernement fédéral américain). Et le moins qu’on puisse dire, c’est que l’affaire ne manque pas de piquant, puisque pour la spécialiste russe de la lutte contre les virus informatiques, on se trouverait dans la situation de l’arroseur arrosé.

Ccyber Command NSA

Selon Kaspersky Lab, son logiciel antivirus – installé en toute légalité sur l’ordinateur d’un membre d’« Equation Group », soit le département d’élite de l’agence dont l’une des missions est de développer des malwares (logiciels malveillants) – a effectivement aspiré des données sur un ordinateur de la NSA.

Entre le 11 septembre et le 17 novembre 2014, le moteur de détection de l’antivirus Kaspersky a ainsi trouvé plusieurs «variantes nouvelles, inconnues et en cours de développement de malwares utilisés par le groupe Equation », selon le communiqué de Kaspersky. En d’autres termes, l’entreprise russe n’a fait que mener à bien la tâche pour laquelle il est acheté et utilisé : traquer les logiciels malveillants.

Outres des malwares de type chevaux de Troie, d’autres logiciels malveillants ont été débusqués, regroupés dans un fichier archive compressé de type Zip. Conçu pour cela, l’antivirus zélé a ensuite transmis automatiquement le fichier bourré de malwares neutralisés aux serveurs de Kaspersky. Ceci afin de procéder à des analyses complémentaires, comme c’est le cas pour tous les virus et autres exécutables malveillants repérés par l’antivirus. C’est en cela que Kaspersky a, effectivement « aspiré » – et transmis – des données de la NSA.

« Cyberattaques : une «nouvelle épidémie» frappe l’#Ukraine et la #Russie
➡️https://t.co/oTTAlJyVDq #BadRabbit #NotPetya #informatique pic.twitter.com/QrjU9aUnm4

— RT France (@RTenfrancais) 25 octobre 2017 »

Une expert du cyberespionnage américain… qui s’est fait avoir comme un bleu ?

Mais ce n’est pas la seule révélation croustillante du rapport publié le par Kaspersky Lab. L’utilisateur de l’ordinateur en question, un collaborateur d’un département d’élite du cyberespionnage américain, aurait en outre installé une version piratée du célèbre logiciel Microsoft Office. L’antivirus y a également détecté un malware appelé « Mokes », qui selon Kaspersky, permet de s’introduire dans un ordinateur.

Encore plus cocasse, selon le New York Times du 4 septembre 2017 et le Washington Post, l’homme était un membre de la division Tailored Access Operations (TAO), l’unité d’Equation Group qui a pour mission de développer des outils de piratage dans le cadre des activités de cyberespionnage de la NSA et qui regroupe les hackers d’élite de la NSA. Il faut donc croire que le spécialiste en question aurait laissé des malwares de la NSA sur un ordinateur sur lequel se trouvait également des versions piratées de Microsoft Office, ainsi qu’un antivirus pouvant détecter les exécutables secrets et les copier… Une erreur grossière serait donc à l’origine de la fuite des données, dont des codes sources développés par la NSA elle-même.

« Obama aurait autorisé le développement de «l’équivalent digital d’une bombe» contre la #Russie https://t.co/ID7Ag0rIqW pic.twitter.com/NL9HYUAeE6

— RT France (@RTenfrancais) 24 juin 2017 »

Ces derniers mois, des articles de médias américains avaient suggéré que l’antivirus de Kaspersky avait été programmé justement pour trouver des documents secrets en utilisant des mots-clés tels que « top secret » ou « classified ». Mais selon Kaspersky, l’antivirus aurait agi de manière totalement normale et n’aurait fait que son travail en détectant des codes informatiques suspects, les téléchargeant afin de les analyser. L’analyse manuelle effectuée par Kaspersky a ensuite révélé que les données recueillies étaient plus que des malwares ordinaires mais des codes sources informatiques top-secrets.

Cette révélation fait suite à une déconvenue tout aussi embarrassante pour le renseignement américain, en mai 2017, le groupe de pirates informatiques Shadow Brokers, connu pour avoir dévoilé des outils d’espionnage informatique de la NSA, mettait en vente aux enchères sur internet des outils de cyberespionnage (au premier chef desquels des malwares) développés par l’agence.

« La #NSA aurait hacké le réseau interbancaire #Swift et surveillé plusieurs banques au Moyen-Orienthttps://t.co/NqSmrfljCJ pic.twitter.com/Q9MeDyHGiY

— RT France (@RTenfrancais) 15 avril 2017 »

Des experts, cités par l’AFP, estimaient alors que ces outils étaient authentiques et émanaient d’une unité ultra-secrète de la NSA baptisée… Equation Group.