En quelques jours, plusieurs grands médias américains se sont penchés sur un véritable sac de nœuds digne d’un film d’espionnage : l’éditeur Kaspersky, impliqué dans un éventuel vol de données à la NSA par des agents russes, eux-mêmes surveillés par des agents israéliens.
Tout a commencé en fin de semaine dernière avec un article du Wall Street Journal, que nous avons évoqué récemment dans LeBrief. Des pirates du gouvernement russe auraient dérobé à la NSA des documents hautement confidentiels en 2015, par l’entremise de Kaspersky.
Plus spécifiquement, les agents seraient parvenus à leurs fins en s’attaquant au poste d’un sous-traitant de l’agence américaine. Ce dernier, au mépris des protocoles de sécurité les plus élémentaires, avait ramené ces informations sur son ordinateur personnel. Les espions russes se seraient aperçus de l’existence de ces dossiers via l’analyse des données opérée par Kaspersky.
Le Wall Street Journal ne fournissait cependant que peu d’éléments, évoquant simplement des sources multiples au renseignement américain. Il manquait par ailleurs un élément capital : Kaspersky avait-il volontairement aidé les agents russes, ou ces derniers avaient-ils utilisé une faille quelconque dans le logiciel de sécurité ?
Un carrefour de l'espionnage en 2015
La question est cruciale. L’éditeur avait pour rappel été piraté en 2015, année supposée du vol des données. À l’époque, la société avait expliqué avoir retrouvé un malware dont une partie du code source rappelait étrangement Stuxnet. Curieux, quand on sait que – toujours d’après les informations disponibles – tout portait à croire que ce ver avait été conçu par les États-Unis et Israël pour infecter les centres d’enrichissement de l’uranium en Iran et ainsi ralentir son programme nucléaire.
Or, stupeur, un article du New York Times évoque justement cet allié de longue date des États-Unis. Selon une source anonyme (encore une fois) du renseignement israélien, des agents de ce pays auraient surpris en 2015 des pirates russes infiltrés dans le réseau de Kaspersky. Selon cette même source, c’est Israël qui aurait attaqué l’éditeur russe, ce qui expliquerait alors les traces de Stuxnet dans le code retrouvé. Objectif principal, repérer ce que l’entreprise savait d’Equation Group, souvent considéré comme le bras cyberarmé de la NSA, et de la campagne Regin.
Toujours selon cette source, les agents russes auraient été espionnés pendant qu’ils fouillaient dans les bases de données de Kaspersky. Ce qui leur aurait permis de mettre la main sur la trace des documents de la NSA et de savoir à quelle machine s’attaquer pour les obtenir. Les Russes disposeraient en effet d’un véritable moteur de recherche pour trouver ce qu’ils cherchent dans ces bases. Le Washington Post évoque à ce sujet les « signatures silencieuses » créées pour identifier rapidement les données scannées par l’antivirus.
Un rapport complet aurait été envoyé à la NSA
Les agents israéliens auraient alors averti immédiatement leurs alliés américains de ce qu’ils avaient découvert. Un rapport complet aurait ainsi été envoyé à la NSA, avec documents et captures d’écran à l’appui. Problème, on ne sait toujours pas – si tant est que ces informations soient prises au sérieux – si Kaspersky fournissait un accès volontairement à ses bases de données, ou si l’entreprise était infiltrée à la fois par des agents russes et israéliens.
Ces articles ont été publiés alors que Kaspersky fait l’objet d’un rejet généralisé aux États-Unis dans les administrations et les ministères. Et non seulement ces échos risquent d’avoir un impact très négatif sur les ventes de Kaspersky, mais ils pourraient faire tache d’huile. Or, 60 % des achats de licences environ se font aux États-Unis et en Europe. On comprend que l’éditeur soit particulièrement inquiet de la situation.
Kaspersky se défend de toute aide à un quelconque gouvernement
Car Kaspersky clame avec véhémence que « l’intégrité de ses produits est essentielle à son activité commerciale ». La société affirme que toute faille découverte est immédiatement corrigée, qu’il n’y a aucune activité parallèle avec le moindre gouvernement, et qu’elle serait plus qu’heureuse de travailler avec les États-Unis pour résoudre tous les problèmes éventuels. Kaspersky l’affirme encore une fois : l’entreprise « n’a jamais aidé, ni n’aidera jamais un gouvernement dans ses activités de cyberespionnage ».
Comme toujours dans ce genre d’affaire, il est difficile – voire impossible – de savoir ce qui s’est réellement passé. Les seuls mouvements observables et quantifiables sont ceux du chiffre d’affaires de Kaspersky, qui risque fort d’en prendre un coup. Même si l’éditeur russe n’était que le dindon de la farce dans un échiquier géopolitique aussi tendu que complexe, le résultat serait le même tant que des documents ne prouveraient pas son innocence. Et même dans ce cas, il est difficile de restaurer une image commerciale abîmée, particulièrement dans un domaine aussi sensible que celui de la sécurité informatique.
