Kaspersky fait actuellement face à des accusations sur le possible envoi de faux fichiers vérolés afin que les autres antivirus génèrent des faux positifs. La société russe nie toute implication dans cette opération, mais la situation illustre bien les problèmes auxquels peut être confrontée l’industrie de la sécurité.
Pour comprendre ce problème, il faut savoir que chaque éditeur de solution antivirale ne travaille pas uniquement dans son coin. Chacun développe ses propres solutions et technologies, mais dans un monde de la sécurité en perpétuelle évolution, un partage minimal des connaissances est nécessaire. Ces sociétés disposent depuis longtemps d’un réseau d’échanges utilisé notamment pour mettre en commun les bases de signatures.
Échanger n’est pas voler
Un tel système a des avantages évidents. Quand une nouvelle menace est détectée, les autres éditeurs en sont alors avertis, si tant est qu’ils n’aient pas découvert eux-mêmes le malware, ce qui arrive régulièrement. Une attitude « noble » qui participe à la bonne protection de l’utilisateur final. Mais il comporte également des désavantages.
Comme le rappelle ainsi Reuters, Kaspersky s’était plaint de ces travers, notamment de la manière dont certaines entreprises profitaient du partage des signatures pour ne faire qu’un travail minimal de leur côté. Des structures récupéraient simplement le travail accompli par d’autres. En 2010, Kaspersky avait d’ailleurs créé 20 fichiers sans danger particulier, puis les avait envoyés à VirusTotal (qui appartient à Google depuis 2012) en les déclarant comme dangereux. En l’espace de dix jours, 14 entreprises avaient repris l’information et répercuté ce signalement sans vraiment vérifier. Selon Kaspersky, il s’agissait d’alerter l’industrie, et un grand nombre d’acteurs avait exprimé les mêmes inquiétudes.
Kaspersky aurait cherché à créer des faux positifs chez ses concurrents
Selon deux anciens employés de l’éditeur russe, cette opération avait illustré clairement les reproches faits à l’encontre du système, ou plutôt à une partie des acteurs présents dans le circuit. Cependant, si aucun changement particulier n’avait été noté par la suite, ils indiquent que Kaspersky a décidé un peu plus tard de passer à l’étape supérieure.
Par Kaspersky, il faut comprendre ici Eugène Kaspersky, cofondateur de l’entreprise et personnage bien connu du monde de la sécurité. Selon ces sources, il aurait été particulièrement en colère de voir que la situation n’avait pas évolué et que le « vol » continuait, car c’est bien ainsi qu’il considérait cette reprise sans vérification. Il aurait donc constitué un petit groupe en vue d’une opération plus agressive.
La technique aurait constitué à prendre des fichiers très courants fournis par Windows, ou trouvé dans des pilotes très répandus. Les ingénieurs incorporaient alors de très légères modifications puis les signalaient comme dangereux. Objectif : leurrer les antivirus concurrents pour que leur moteur de détection confonde le fichier trafiqué avec le fichier d’origine. Quand cette erreur se produisait, l’antivirus plaçait alors le bon fichier en quarantaine ou le supprimait, provoquant les problèmes qu’on imagine aisément.
Des sociétés ont bien été touchées par ce problème…
Microsoft, AVG et Avast avaient indiqué à Reuters que de telles opérations avaient bien été menées dans les dernières années, sans jamais savoir de qui elles provenaient. Chez Microsoft notamment, le responsable Dennis Batchelder avait indiqué en avril dernier qu’un cas similaire s’était produit en mars 2013. Un pilote d’imprimante avait ainsi été placé en quarantaine, et l’équipe avait passé six heures à chercher l’origine du problème. Une similitude avait été trouvée avec un code marqué comme malveillant précédemment, indiquant qu’il avait été placé à dessein dans le pilote. Une ressemblance insuffisante pour représenter une vraie menace, mais assez pour conduire à une vraie gêne de l’utilisateur. D’autant que dans les mois suivants, plusieurs centaines voire milliers de cas similaires avaient été trouvés.
Il est intéressant de constater que dans la période qui s’est alors ouverte, cette découverte a fait le tour de la communauté. De nombreux éditeurs se sont penchés sur la question, mais le ou les auteurs n’ont jamais été trouvés. Microsoft n’a d’ailleurs pas souhaité réagir la semaine dernière sur la possible implication de Kaspersky.
Selon les deux anciens employés, ce dernier aurait un long passif sur cette activité répréhensible. L’éditeur créerait ainsi des faux positifs depuis plus de dix ans, la période la plus intense ayant eu lieu selon eux entre 2009 et 2013. L’année 2013 semble être une année charnière et d’ailleurs confirmée par AVG, qui a indiqué que plus aucune vague de faux positifs n’avait été enregistrée depuis. Même Kaspersky a indiqué avoir renforcé sa détection pour se débarrasser de ces signalements parasites.
… mais rien ne prouve en fait que Kaspersky ait réellement été impliqué
La société russe nie évidemment toute implication dans une telle opération. Dans un communiqué envoyé à Reuters, elle a ainsi déclaré : « Notre entreprise n’a jamais conduit la moindre opération secrète pour piéger les concurrents en générant des faux positifs qui auraient nui à leurs parts de marché. De telles pratiques sont contraires à l’éthique, malhonnêtes et leur légalité est au mieux douteuse ». L’éditeur estime d’ailleurs qu’il ne peut s’agir d’un éditeur d’antivirus car le résultat aurait trop de répercussions sur tout le secteur.
Mais il est évident que Kaspersky, même en cas d’implication, ne peut rien faire d’autre que nier une telle opération. L’histoire prend appui sur des éléments concrets et confirmés par d’autres entreprises, mais il est difficile de prendre la parole de deux anciens employés pour argument comptant. Eugène Kaspersky, de son côté, n’a pas caché son mépris total de la situation sur Twitter, qualifiant de « conneries » les propos relayés par Reuters.
Eugène Kaspersky particulièrement remonté
Il a par la suite détaillé son point de vue dans un billet sur son propre blog. Il est évident selon lui que l’histoire ne repose sur rien, sinon la hargne éventuelle de deux employés partis pour des raisons inconnues. Il rappelle que l’année 2012 en particulier a été difficile car plusieurs faux positifs ont été remontés par le moteur de détection de Kaspersky, notamment sur Steam, le centre de jeux Mail.ru et le client de communication QQ. L’opération a été répétée à plusieurs reprises, toujours en envoyant de légères variations aux fichiers via VirusTotal et d’autres canaux de partage. Il s’agissait bien d’attaques, mais l’éditeur n’a jamais su d’où elles provenaient.
En 2013, une réunion au sommet entre plusieurs éditeurs de solutions de sécurité avait eu pour objectif d’échanger les informations au sujet de ces attaques. Aucune piste sérieuse n’avait été trouvée, mais certaines théories intéressantes étaient apparues. Un créateur de malwares aurait ainsi pu monter une opération élaborée destinée à tester les réactions des éditeurs en fonction de certains critères, avec l’objectif de renforcer ses propres créations.
Le cœur de l’histoire n’est d’ailleurs pas la paternité du scénario « machiavélique », car une telle information ne transpirera sans doute jamais, à moins que les ex-employés (s’ils en sont bien) ne prouvent leurs dires de manière beaucoup plus concrète. L’intérêt se trouve finalement dans le fonctionnement même du monde de la sécurité et des échanges entre des sociétés qui restent avant tout des concurrents.
