Rechercher sur ce blogue

mardi 23 juin 2015

La rétroingénierie illégale par la NSA américaine et le GCHQ britannique ?

Comment les éditeurs d’antivirus se font pirater par la NSA et le GCHQ

Des documents d’Edward Snowden montrent que la société russe Kaspersky figure parmi les éditeurs particulièrement en ligne de mire des agences de renseignement anglo-saxonnes.



Rappelez-vous, il y a quelques semaines, l’éditeur Kaspersky a révélé que son réseau avait été infiltré par un logiciel d’espionnage sophistiqué. Il s’agissait d’un rejeton lointain de Stuxnet qu’il a baptisé Duqu 2.0 et qui a probablement été créé par une agence de renseignement. Le site The Intercept vient maintenant de publier une série de documents provenant d’Edward Snowden qui montrent que la société russe est la cible des agences de renseignement depuis plusieurs années déjà. Et pas n’importe quelles agences : la NSA américaine et le GCHQ britannique.
Il faut dire que qu’un antivirus est une cible particulièrement intéressante pour des barbouzes. Ces logiciels sont exécutés avec un haut niveau de privilèges sur les ordinateurs des clients et ont une connaissance intime du système, en raison des scans de sécurité effectués. Pouvoir compromettre ces logiciels serait donc très intéressant. Dans un document datant de 2008, le GCHQ explique que les « produits de sécurité personnels tels que l’antivirus russe Kaspersky Antivirus continuent de poser problème ». C’est pourquoi l’agence met en œuvre des techniques de rétroingénierie pour essayer de hacker ces logiciels.  Au passage, on découvre aussi dans ce document que, grâce à la rétroingénierie, les agents britanniques ont piraté avec succès les routeurs Cisco du nœud d’échange Pakistan Internet Exchange, lui permettant de surveiller le trafic de presque n’importe quel utilisateur pakistanais, soit 180 millions de personnes. Mais c’est une autre histoire...
© The Intercept
De son côté, la NSA a également pris Kaspersky et ses homologues en ligne de mire. Dans un document datant de 2008, l’agence américaine explique avoir décortiqué les échanges entre le logiciel client et les serveurs de Kaspersky. Bingo : elle y a trouvé certaines informations, codées dans le champ « User-Agent », lui permettant d’identifier de manière unique l’ordinateur d’une personne, voire même d’en déduire certaines données de configuration. C’est très pratique pour la surveillance et pour la préparation d’attaques. Contacté par The Intercept, Kaspersky dément formellement que le champ « User-Agent » puissent apporter ce type d’informations.
L’agence de surveillance américaine s’efforce également d’intercepter les courriels que reçoivent ou envoient les éditeurs d’antivirus. Dans un document datant de 2007, elle montre un email envoyé par un informaticien canadien à un éditeur d’antivirus, avec un échantillon de malware en fichier joint. En automatisant ce type d’interception auprès de plus d’une vingtaine d’éditeurs antivirus - Kaspersky, F-Secure, DrWeb, AVG, Eset, Avast... - l’agence explique pouvoir récupérer une dizaine de « fichiers potentiellement malveillants par jour ».
© The Intercept
Une dizaine de fichiers par jour, c’est extrêmement peu comparé aux centaines de milliers de fichiers infectés reçus tous les jours par les éditeurs d’antivirus de manière plus ou moins automatique. Néanmoins, on peut supposer que ces fichiers sortent de l’ordinaire dans la mesure où quelqu’un a pris la peine de les envoyer par email. Ils sont donc peut-être particulièrement intéressants. En tous les cas, ces malwares sont ensuite analysés et, le cas échéant, « réaffectés » à des opérations de piratage. Les échanges email peuvent également donner des indications sur les failles de sécurité des logiciels antivirus eux-mêmes.
Source :
The Intercept

Aucun commentaire: