Comment les éditeurs d’antivirus se font pirater par la NSA et le GCHQ
Des documents d’Edward Snowden montrent que la société russe Kaspersky figure parmi les éditeurs particulièrement en ligne de mire des agences de renseignement anglo-saxonnes.
agrandir la photo
Rappelez-vous,
il y a quelques semaines, l’éditeur Kaspersky a révélé que son réseau
avait été infiltré par un logiciel d’espionnage sophistiqué. Il
s’agissait d’un rejeton lointain de Stuxnet qu’il a baptisé Duqu 2.0 et qui a probablement été créé par une agence de renseignement. Le site The Intercept vient
maintenant de publier une série de documents provenant d’Edward Snowden
qui montrent que la société russe est la cible des agences de
renseignement depuis plusieurs années déjà. Et pas n’importe quelles
agences : la NSA américaine et le GCHQ britannique.
Il faut dire que qu’un antivirus est une
cible particulièrement intéressante pour des barbouzes. Ces logiciels
sont exécutés avec un haut niveau de privilèges sur les ordinateurs des
clients et ont une connaissance intime du système, en raison des scans
de sécurité effectués. Pouvoir compromettre ces logiciels serait donc
très intéressant. Dans un document datant de 2008, le GCHQ explique que
les « produits de sécurité personnels tels que l’antivirus russe Kaspersky Antivirus continuent de poser problème ».
C’est pourquoi l’agence met en œuvre des techniques de rétroingénierie
pour essayer de hacker ces logiciels. Au passage, on découvre aussi
dans ce document que, grâce à la rétroingénierie, les agents
britanniques ont piraté avec succès les routeurs Cisco du nœud d’échange
Pakistan Internet Exchange, lui permettant de surveiller le trafic de
presque n’importe quel utilisateur pakistanais, soit 180 millions de
personnes. Mais c’est une autre histoire...
© The Intercept
De son côté, la NSA a
également pris Kaspersky et ses homologues en ligne de mire. Dans un
document datant de 2008, l’agence américaine explique avoir décortiqué
les échanges entre le logiciel client et les serveurs de Kaspersky.
Bingo : elle y a trouvé certaines informations, codées dans le champ
« User-Agent », lui permettant d’identifier de manière unique
l’ordinateur d’une personne, voire même d’en déduire certaines données
de configuration. C’est très pratique pour la surveillance et pour la
préparation d’attaques. Contacté par The Intercept, Kaspersky dément formellement que le champ « User-Agent » puissent apporter ce type d’informations.
L’agence de surveillance américaine
s’efforce également d’intercepter les courriels que reçoivent ou
envoient les éditeurs d’antivirus. Dans un document datant de 2007, elle
montre un email envoyé par un informaticien canadien à un éditeur
d’antivirus, avec un échantillon de malware en fichier joint. En
automatisant ce type d’interception auprès de plus d’une vingtaine
d’éditeurs antivirus - Kaspersky, F-Secure, DrWeb, AVG, Eset, Avast... -
l’agence explique pouvoir récupérer une dizaine de « fichiers potentiellement malveillants par jour ».
© The Intercept
Une dizaine de
fichiers par jour, c’est extrêmement peu comparé aux centaines de
milliers de fichiers infectés reçus tous les jours par les éditeurs
d’antivirus de manière plus ou moins automatique. Néanmoins, on peut
supposer que ces fichiers sortent de l’ordinaire dans la mesure où
quelqu’un a pris la peine de les envoyer par email. Ils sont donc
peut-être particulièrement intéressants. En tous les cas, ces malwares
sont ensuite analysés et, le cas échéant, « réaffectés » à des
opérations de piratage. Les échanges email peuvent également donner des
indications sur les failles de sécurité des logiciels antivirus
eux-mêmes.
Source :
Aucun commentaire:
Publier un commentaire