Kaspersky avait promis d’enquêter sur les étranges révélations de cet automne : c’est grâce à son antivirus que l’espionnage russe aurait pu récupérer des documents et outils de la NSA. Dans son rapport, l’éditeur s’en défend. D’ailleurs, rien ne prouverait que la machine où sont apparues ces données appartienne à un proche de l’agence.
Bref rappel de la situation. Le renseignement russe serait en possession d’informations sensibles de la NSA, récupérées sur l’ordinateur d’un sous-traitant qui aurait ramené ces informations chez lui, au mépris des protocoles de sécurité les plus élémentaires. C’était du moins ce qui ressortait des premiers éléments, publiés par le Wall Street Journal.
Les agents russes auraient réussi à s’en emparer par l’intermédiaire de Kaspersky, dont l’antivirus, présent sur la fameuse machine, aurait généré les signatures menant à leur reconnaissance. Le fondateur de l’éditeur, Eugene Kaspersky avait indiqué que cette vision simpliste n’était pas réaliste – il l'a qualifiée de « bullshit » – promettant au passage une enquête. Les résultats en sont disponibles depuis la fin de semaine dernière.
Kaspersky insiste : l’antivirus n’a fait que son travail
Plutôt que de parler de NSA, l’éditeur évoque plutôt Equation Group, dont un article récent du New York Times indiquait qu’il n’était autre que la division TAO (Tailored Access Operations) de l’agence américaine. Un point qui ne peut pas être vérifié en l’état.
Que sait-on ? Que l’ensemble des fichiers – documents, binaires et code source – ont été récupérées sur une période de deux mois en 2014 (septembre et octobre essentiellement). L’adresse IP utilisée par l’ordinateur où ces données étaient présentes le situait à Baltimore, à environ 32 km de Fort Meade (Maryland), où se trouve le quartier général de la NSA.
Sur cet ordinateur, Kaspersky a notamment analysé une archive 7zip qui contenait des malwares d’Equation Group. S’agissant de logiciels malveillants, une signature a été générée. L’éditeur précise que l’archive contenait également du code source et quatre documents portant des marques évidentes de classification.
Eugene Kaspersky, alerté par un employé réalisant la vérification manuelle, aurait alors réclamé la suppression immédiate de ces informations, à l’exception des binaires malveillants, en accord avec la politique de l’entreprise. L’occasion de rappeler que les signatures ne sont générées que pour les fichiers dont le caractère malveillant est établi.
Kaspersky affirme qu’aucune intrusion de ses systèmes n’a été commise pendant les « quelques jours » où les fichiers ont été présents sur ses serveurs. Il estime qu’aucun vol n’a eu lieu non plus pendant les transmissions, le duo AES/RSA étant utilisé pour la sécurisation des échanges.
No.
— Eugene Kaspersky (@e_kaspersky) 16 novembre 2017
To be clear: it's not confirmed this was a contractor's home PC. I don't count rumors and anonymous sources
Des éléments incohérents
Kaspersky évoque également des éléments troublants, tout en cherchant à démontrer que toute cette histoire pourrait être le fruit d’un malheureux concours de circonstances, en plus d’une hygiène informatique déplorable.
Pour l’éditeur, il est clair qu’à un moment précis, un lecteur amovible – probablement une clé USB – a été introduit dans l’ordinateur, avec à son bord les données d’Equation Group. 22 jours plus tard, l’antivirus était désactivé, a priori pour pouvoir faire fonctionner un « crack » d’Office 2013. Une fois réactivée, la protection a pu vérifier que ledit crack contenait un malware nommé Smoke Loader, possédant notamment des capacités de contrôle à distance.
En fait, selon Kaspersky, rien ne permet d’indiquer que la machine scannée par l’antivirus soit bien celle d’un sous-traitant de la NSA. Les faits évoquent une clé USB, des fichiers très sensibles, une détection et des signatures de malwares. De là à déduire que l’ordinateur appartenait à un agent bien peu scrupuleux, il n’y a qu’un pas que l’éditeur russe refuse de franchir. Et ce d’autant plus que Kaspersky raconte des évènements ayant eu lieu en 2014, alors que grands médias américains parlaient tous de 2015.
Dans cette zone d’ombre pourrait se cacher le salut pour Kaspersky, soumis depuis quelques mois à une intense vague de défiance aux États-Unis, aboutissant à l’interdiction pure et simple de ses produits dans les administrations et agences fédérales. Parce que s’il s’agit bien de la même et unique machine, les autorités américaines sont soit passées à côté de l’infection par Smoke Loader, soit n’en ont pas parlé, alors qu’il s’agit d’une information capitale.
La difficile quête de la transparence
Tout le rapport de Kaspersky semble tendre vers un objectif manifeste : induire un doute raisonnable. L’éditeur a à cœur de montrer ce qui serait un concours de circonstance peu commun, sur la base d’évènements qu’il sera difficile de vérifier.
Car il est évident que le renseignement américain gardera sous silence certaines informations manquantes, comme l’identité de la personne à qui appartenait l’ordinateur. À l’inverse, Kaspersky s’époumone à expliquer que jamais aucun gouvernement n’a été aidé pour obtenir des données. Mais si l’entreprise en avait reçu la demande expresse, sa communication ne serait sans doute guère différente.
Le rapport a-t-il une chance de jouer en faveur de Kaspersky ? Pour les chercheurs en sécurité ou les observateurs hors de toute contrainte géopolitique, peut-être. Les détails précis de l’affaire ne seront probablement jamais connus, mais puisque l’activité commerciale de l’éditeur est en péril, il n’a pas le choix : il doit faire montre de transparence. Pour preuve, la confirmation par Eugene Kaspersky que des fichiers classifiés avaient bien été récupérés avant d'être effacés. Ce que l'entreprise ne pourra jamais vraiment prouver.