Le mois dernier, le Département américain de la sécurité intérieure (DHS) a ordonné à toutes les agences fédérales d’arrêter d’utiliser les produits de Kaspersky, en leur donnant 90 jours pour supprimer le logiciel.
Le secrétaire par intérim du DHS, Elaine C. Duke, a évoqué des « risques de sécurité de l’information » présentés par Kaspersky et a déclaré que l’antivirus et les autres logiciels de la société « fournissent un large accès aux fichiers ». Par conséquent, ils « peuvent être exploités par des cyberacteurs malveillants pour compromettre les systèmes informatiques fédéraux. » Cette mesure s’aligne avec bien d’autres qui ont été annoncées ou en cours pour bannir totalement le logiciel antivirus Kaspersky des entreprises et organisations américaines.
Ces mesures étaient toutefois attendues depuis longtemps. Il y aurait en effet eu des mois de discussions entre les responsables du renseignement américain. Ces derniers ont même mené une étude sur le fonctionnement du logiciel de Kaspersky et enquêté sur les liens présumés de l’entreprise avec le Kremlin.
Mais d’après le quotidien New York Times, les accusations du gouvernement américain contre la firme de sécurité russe reposent, en grande partie, sur des informations fournies par le renseignement israélien, lors d’une intrusion en 2014 dans les systèmes de Kaspersky. C’est lors de cette intrusion dans le réseau de Kaspersky que des hackers travaillant pour le gouvernement israélien ont découvert qu’ils n’étaient pas les seuls sur le terrain. Ils ont en effet observé en temps réel les hackers du gouvernement russe en train d’analyser les ordinateurs à travers le monde à la recherche de documents relatifs aux programmes d’espionnage des États-Unis. Ils ont donc décidé d’en informer les États-Unis sur cette intrusion russe, et c’est ce qui a récemment conduit le gouvernement américain à bannir Kaspersky.
Dans ce piratage qui a été détecté il y a plus de deux ans, les hackers russes ont simplement utilisé le logiciel antivirus de Kaspersky Lab comme un outil de recherche sur les ordinateurs des utilisateurs ; soit 400 millions de personnes dans le monde, y compris des agents dans une vingtaine d’organismes gouvernementaux US.
L’opération russe a permis de voler les documents confidentiels d’un employé de l’agence de sécurité nationale des États-Unis. La NSA interdit pourtant à ses analystes d’utiliser l’antivirus Kaspersky au sein de l’agence, notamment parce qu’elle-même a déjà exploité un logiciel antivirus pour ses propres opérations de piratage à l’étranger. La NSA sait donc que la même technique est utilisée par ses adversaires. « L’antivirus est la porte dérobée ultime, » affirme Blake Darché, un ancien opérateur de la NSA. « Il fournit un accès fiable et à distance qui peut être utilisé à toutes fins, du lancement d’une attaque destructrice à la conduite d’une opération d’espionnage sur des milliers, voire des millions d’utilisateurs », dit-il.
Cependant, l’interdiction d’utiliser Kaspersky se limitait au travail et l’employé piraté utilisait le logiciel antivirus sur son ordinateur personnel à la maison, sur lequel étaient stockés certains documents confidentiels de la NSA. D’après les sources, il n’avait pas l’intention de transmettre les documents à une agence étrangère. « Il n’y avait pas de malice », a déclaré une personne proche du dossier. « C’est juste qu’il essayait de terminer une mission, et il avait besoin des outils pour le faire. »
Toutefois, cela a permis aux hackers russes de détecter le matériel de la NSA via Kaspersky et d’exfiltrer les informations. Les hackers russes auraient en effet transformé le logiciel antivirus en un outil de recherche d’informations sensibles.
Comme la plupart des logiciels de sécurité, les produits de Kaspersky Lab exigent un accès à tout ce qui est stocké sur un ordinateur afin de détecter les virus ou autres menaces. L’antivirus populaire recherche les signatures de logiciels malveillants, puis les supprime ou les neutralise avant d’envoyer un rapport à Kaspersky. C’est cette procédure, une routine pour un tel logiciel, qui a fourni un outil parfait qui a été exploité par les hackers russes pour analyser le contenu des ordinateurs et récupérer tout ce qui pourrait les intéresser.
En ce qui concerne l’intrusion du gouvernement israélien dans les systèmes de Kaspersky Lab, la firme de sécurité ne l’avait pas découverte avant la mi-2015, lorsque l’un de ses ingénieurs testant un nouvel outil de détection a remarqué une activité inhabituelle sur le réseau de l’entreprise. La société a enquêté et détaillé ses conclusions en juin 2015 dans un rapport public. Kaspersky n’a pas accusé ouvertement le gouvernement israélien. La firme a toutefois fait remarquer que la violation présentait des similitudes frappantes avec une attaque antérieure, connue sous le nom de « Duqu », que les chercheurs avaient attribuée aux mêmes nations derrière Stuxnet. Pour information, l’opération Stuxnet était menée conjointement par Israël et les États-Unis. Mais Kaspersky a noté que plusieurs cibles étaient aux États-Unis, ce qui suggérait que la nouvelle opération était celle d’Israël, et non menée en collaboration avec les États-Unis.
Kaspersky a également révélé que les attaquants ont réussi à s’infiltrer profondément dans les ordinateurs de l’entreprise et à éviter d’être détectés pendant des mois. Les enquêteurs ont encore découvert plus tard que les pirates avaient aussi implanté plusieurs portes dérobées dans les systèmes de Kaspersky, en utilisant des outils sophistiqués pour voler les mots de passe, prendre des captures d’écran et aspirer les emails et les documents.
C’est après cette opération que le renseignement israélien a informé la NSA qu’ils ont découvert que les pirates du gouvernement russe utilisaient l’accès de Kaspersky pour rechercher les programmes classifiés par le gouvernement américain, et envoyaient les résultats aux systèmes de renseignement russes. Ils ont fourni à leurs homologues de la NSA « des preuves solides de la campagne du Kremlin sous forme de captures d’écran et d’autres documents », selon les sources du New York Times.
Kaspersky Lab a nié toute connaissance ou implication dans le piratage russe. « Kaspersky Lab n’a jamais aidé, et n’aidera jamais aucun gouvernement dans le monde dans ses efforts de cyberespionnage », a déclaré la firme de sécurité dans un communiqué mardi après-midi. Kaspersky Lab a donc demandé toute information pertinente et vérifiable qui permettrait à l’entreprise d’ouvrir une enquête dès que possible.
La morale de cette histoire : jetez votre antivirus Kaspersky à la poubelle, et surtout, ne remplacez un gratuit par leur nouvelle version entièrement gratuite.
Poster un Commentaire