L’éditeur russe d’antivirus Kaspersky est accusé de complicité dans le vol par la Russie d’informations confidentielles appartenant à la NSA. La société vient de répondre en expliquant point par point ce qui se serait passé. Décryptage.
L’affaire a explosé début octobre, quand le Wall Street Journal a révélé, dans un article, le vol par le renseignement russe de données extrêmement sensibles de la National Security Agency (NSA), l’agence de renseignement américaine.
Des informations critiques du cyber-renseignement américain
Parmi les données dérobées se trouvent des techniques d’attaque des réseaux informatiques étrangers par la NSA, le code source de plusieurs outils utilisés dans ce but, ainsi que des informations sur les systèmes de défense des réseaux nationaux par la NSA. Bref, des outils offensifs et défensifs en matière de cyber-renseignement et de cyber-attaque. De quoi aider la Russie à muscler ses capacités de défense et d’attaque numériques vis-à-vis des Etats-Unis.
Cet article a provoqué un violent émoi aux Etats-Unis, d’autant plus qu’il accuse un géant de la cybersécurité, l’éditeur russe Kaspersky, de complicité dans cette affaire.
Un employé négligeant comme point de départ
Les faits remontent à 2015, quand un contractant de la NSA travaillant sur ces sujets décide de ramener ces documents confidentiels chez lui et les consulte sur son ordinateur. Ce dernier était équipé d’un antivirus Kaspersky. La thèse du Wall Street Journal est que le contractant a été victime d’une attaque, le renseignement russe ayant identifié ces documents grâce à l’antivirus.
Les effets ont été désastreux pour Kaspersky : il a été banni de toutes les administrations américaines, et sa réputation entachée a détourné de lui de nombreux usagers. Pourtant, l’article du Wall Street Journal n’indique pas clairement en quoi consiste cette complicité ; après avoir déclaré n’être lié à aucun gouvernement, Kaspersky a mené son enquête. L’éditeur vient d’en livrer tous les résultats.
Ce que personne ne conteste, c’est que l’employé de la NSA n’aurait jamais dû ramener ces documents chez lui, surtout sur un ordinateur connecté à Internet ; de plus, ayant enregistré sur son ordinateur une archive Zip contenant le code source de plusieurs malware connus, rien d’étonnant à ce que Kaspersky ait détecté leur présence et ait remonté l’archive vers ses serveurs. Personne ne critique l’éditeur pour cela. Ce qui pose problème, c’est de savoir comment ces documents ont été récupérées par le renseignement russe.
L’hypothèse de la faille de sécurité sur l’antivirus utilisé par l’employé
Trois hypothèses étaient envisagées, avant l’enquête de Kaspersky. La première était que l’antivirus de Kaspersky ait été lui-même victime d’une attaque russe permettant de l’utiliser pour remonter des informations sensibles.
Hypothèse innocentant l’éditeur mais fort peu probable, car elle suppose que le renseignement russe savait que cet ordinateur appartenait à un employé de la NSA, que son antivirus était vulnérable et qu’il allait, justement ce jour-là, ramener du travail à la maison…
L’hypothèse de la complicité, volontaire ou par négligence
La seconde est que Kaspersky est effectivement complice de Moscou, d’une façon ou d’une autre, et que les informations confidentielles remontées sur les serveurs de l’éditeur ont été transmises directement au renseignement russe. La nationalité de l’éditeur renforce cette théorie.
La troisième est que ces informations sensibles, une fois remontées, aient transité par des serveurs de Kaspersky installés en Russie. Les services de renseignement russe les auraient interceptées lors de leur transfert. La responsabilité de Kaspersky demeurerait engagée, et certains l’ont clamé haut et fort : « Si vous choisissez de rediriger du trafic via un pays hostile qui l’intercepte et l’utilise ensuite pour lancer une attaque, vous l’avez bien mérité », a déclaré Matthew Green, un cryptologue américain.
La version de Kaspersky : le coupable est un malware installé par l’employé
La version de Kaspersky propose une alternative, qui semblera tirée par les cheveux à certains, et une preuve d’innocence manifeste à d’autres. D’après l’éditeur, l’employé, après que Kaspersky ait repéré les malwares sur son ordinateur, aurait coupé son antivirus et installé une version de Microsoft Office compromise. L’employé aurait alors installé un malware sur son ordinateur, qui aurait permis à un tiers d’accéder aux données de son ordinateur – y compris la fameuse archive Zip si sensible.
Kaspersky confirme avoir bien remonté cette archive sur ses serveurs, mais sans transit par le sol russe : l’archive contenait effectivement des malwares et du code source appartenant à un groupe travaillant avec la NSA. Mais cette archive aurait été immédiatement détruite sur ordre direct du dirigeant de Kaspersky, comme c’est l’usage dans ce cas.
Kaspersky s’en remettra-t-il ?
Quoiqu’il en soit, la réputation de Kaspersky sur le sol américain a peu de chances de se remettre de cette affaire : ces explications, pour précises et techniques qu’elles soient, ne prouvent pas formellement l’innocence de l’éditeur russe dans cette affaire – et risque d’éveiller des soupçons bien au-delà des Etats-Unis. Signera-t-elle la mort de l’éditeur, comme certains l’affirment ? L’hypothèse n’est pas à exclure.