Comment un logiciel antivirus peut-il être transformé en un outil d’espionnage ?

Ce secret que les logiciels de sécurité peuvent être un puissant outil d’espionnage fut  gardé très longtemps par les agences de renseignement mais ignoré du grand public

Certains pourraient même pirater Facebook. Le logiciel de sécurité est le logiciel le plus proche des microprocesseurs avec un accès privilégié à presque tous les programmes, applications, navigateurs Web, courriels et fichiers. Il y a de bonnes raisons à cela : les produits de sécurité sont destinés à évaluer tout ce qui touche à votre ordinateur en recherchant quelque chose de malveillant ou suspect.

En téléchargeant des logiciels de sécurité, les consommateurs courent aussi le risque qu’un fabricant d’antivirus malintentionné (comme un pirate ou un espion qui entre dans ses systèmes) puisse abuser de cet accès total pour suivre tous les mouvements numériques des clients : lire leurs emails, connaitre les sites qu’ils visitent, avoir accès aux données sensibles comme les mots de passe des comptes Facebook.

« Dans la lutte contre les codes malveillants, les produits antivirus sont un incontournables », a déclaré Patrick Wardle, Directeur de la recherche chez Digita Security, une société de sécurité. « Cependant il est étonnant de constater que ces produits partagent de nombreuses caractéristiques avec le cyberespionnage qu’ils cherchent à détecter. »

Un ancien hacker de la National Security Agency (NSA) a récemment réussi à cracker les logiciels antivirus vendus par Kaspersky Lab en le transformant en un puissant outil de recherche de documents confidentiels.

Wardle a été surpris d’apprendre que des espions russes avaient utilisé des produits antivirus de Kaspersky pour siphonner des documents classifiés de l’ordinateur personnel d’un développeur NSA et ont peut-être joué un rôle crucial dans la collecte de renseignements russes.

« Je voulais savoir si c’était un mécanisme d’attaque réalisable », a déclaré M. Wardle. « Je ne voulais pas entrer dans des accusations difficiles.
Mais d’un point de vue technique si un fabricant d’antivirus voulait pirater ou était contraint à le faire pourrait-il créer une signature pour signaler des documents confidentiels ? »

Cette question a pris une importance toute nouvelle au cours des trois derniers mois suite aux accusations des autorités américaines selon lesquelles le logiciel antivirus de Kaspersky avait été utilisé pour la collecte de renseignements russes, une accusation que Kaspersky a niée avec rigueur.
Kaspersky Lab a intenté une action en justice contre l’administration Trump suite à une directive du Département de la sécurité intérieure (DHS) interdisant son logiciel sur les réseaux informatiques fédéraux. Kaspersky a déclaré dans une lettre ouverte que « DHS a nui à la réputation de Kaspersky Lab et à ses opérations commerciales sans aucune preuve d’actes répréhensibles commis par la société ».
Pendant des années les agences de renseignement ont suspecté que les produits de sécurité de Kaspersky Lab fournissaient des renseignements dérobée aux services secrets.

Une ébauche d’un rapport top-secret divulgué par Edward Snowden en 2008, l’ancien entrepreneur de la NSA, décrivait que le logiciel de Kaspersky collectait des informations sensibles sur les ordinateurs des clients.
Les documents ont montré que Kaspersky n’était pas la seule cible de la NSA. Les cibles futures comprenaient près de deux douzaines d’autres fabricants d’antivirus étrangers, dont Checkpoint en Israël et Avast en République Tchèque.
À la NSA les analystes n’avaient pas le droit d’utiliser le logiciel antivirus de Kaspersky car ils risquaient de donner au Kremlin un large accès à leurs ordinateurs et à leurs données. Mais en excluant le quartier général de la NSA à Fort Meade Kaspersky a réussi à obtenir des contrats avec près de deux douzaines d’agences gouvernementales américaines au cours des dernières années.

En septembre 2017, le Département de la sécurité intérieure a ordonné à tous les organismes fédéraux de cesser d’utiliser les produits Kaspersky en raison de la menace que les produits de Kaspersky puissent « donner accès aux fichiers ».

En octobre, le New York Times a rapporté que la directive sur la sécurité intérieure reposait, en grande partie sur des renseignements partagés par les services secrets Israéliens qui ont réussi à pirater Kaspersky Lab en 2014. Ils ont observé pendant des mois alors que les pirates du Gouvernement  Russe scannaient des ordinateurs appartenant aux clients de Kaspersky à travers le monde pour des programmes classifiés secrets du gouvernement américain.

Dans un cas au moins, les responsables Américains ont affirmé que les services Russes avaient réussi à utiliser les logiciels de Kaspersky pour retirer des documents confidentiels d’un ordinateur personnel appartenant à Nghia Pho, un développeur de la NSA qui avait installé le logiciel antivirus de Kaspersky sur son ordinateur personnel.
M. Pho a plaidé coupable en 2017 pour avoir ramené chez lui des documents top secrets et a déclaré qu’il l’avait fait seulement dans le but de compléter son curriculum vitae.
Kaspersky Lab a d’abord nié toute connaissance ou implication dans le vol de documents. Mais la société a depuis reconnu avoir trouvé un logiciel de piratage de la NSA sur l’ordinateur de Pho et l’avoir retiré, bien qu’elle ait déclaré avoir immédiatement détruit les documents après s’être rendu compte qu’ils étaient classés secrets.

La société a également déclaré en novembre qu’au cours d’une enquête sur une opération de surveillance appelée TeamSpy en 2015, elle avait peaufiné son programme antivirus pour scanner les fichiers contenant le mot « secret ».
La société a déclaré que cela avait été fait parce que les attaquants de TeamSpy étaient connus pour rechercher automatiquement les fichiers contenant les mots «secret», «pass» et «saidumlo» qui est la traduction Géorgienne du mot secret.
Kaspersky continue de nier être au courant de la recherche de programmes Américains classifiés ou avoir autorisé l’utilisation de ses produits antivirus par les services secrets Russes.
M. Eugene Kaspersky, le directeur général de l’entreprise, a déclaré qu’il autoriserait le gouvernement américain à inspecter le code source de son entreprise pour apaiser la méfiance à l’égard de ses produits antivirus et de cybersécurité.

Mais M. Wardle a découvert en inversant le logiciel antivirus de Kaspersky qu’un simple examen de son code source ne prouverait en rien que ses produits n’avaient pas été utilisés comme outil de collecte de renseignements russes.

De plus M. Wardle a trouvé que le logiciel antivirus de Kaspersky est incroyablement complexe. Contrairement aux logiciels antivirus traditionnels qui utilisent des «signatures» numériques pour rechercher les codes malveillants et les modèles d’activité, les signatures de Kaspersky sont facilement mises à jour, elles peuvent être automatiquement transmises à certains clients et contiennent du code pouvant automatiquement être modifié tout en numérisant et siphonnant les documents classifiés. En bref, M. Wardle a découvert que « l’antivirus pourrait être l’outil d’espionnage ultime pour le cyberespionnage ».

Wardle a déclaré qu’il était relativement facile d’utiliser une vulnérabilité dans le système d’exploitation Windows de Microsoft pour manipuler le logiciel Kaspersky. La raison est que les fonctionnaires classent régulièrement les documents top secret avec le marquage « TS / SCI », qui signifie « Top Secret / Sensible Compartmented Information », M. Wardle a ajouté une règle au programme antivirus de Kaspersky pour signaler tous les documents contenant le « TS / SCI ». Il a ensuite édité un document sur son ordinateur contenant du texte de la série de livres pour enfants Winnie l’ourson pour y inclure le marquage « TS / SCI » et a attendu de voir si le produit antivirus modifié de Kaspersky le détectait.
Effectivement, dès que le texte de Winnie l’ourson a été enregistré sur sa machine, le logiciel antivirus de Kaspersky a marqué et mis en quarantaine le document. Quand il a ajouté le même marqueur « TS / SCI » à un autre document contenant le texte, « Le renard brun rapide saute par-dessus le chien paresseux », il a également été marqué et mis en quarantaine par le programme antivirus modifié de Kaspersky.

« Pas étonnant que cela ait fonctionné », a déclaré M. Wardle. La question suivante était : Qu’advient-il de ces fichiers une fois qu’ils sont détectés ? M. Wardle s’est défendu de pirater les serveurs cloud de Kaspersky où des fichiers suspects sont régulièrement téléchargés. Cependant  il a noté que les clients antivirus, y compris ceux de Kaspersky, acceptaient par défaut de permettre aux fournisseurs de sécurité de renvoyer n’importe quoi de leur machine aux serveurs des fournisseurs pour une enquête plus approfondie. Il y a des raisons légitimes à cela : en téléchargeant ces éléments sur le cloud de Kaspersky, les analystes de sécurité peuvent évaluer s’ils représentent une menace et mettre à jour leurs signatures.
Selon Kaspersky Lab, les recherches de M. Wardle ne reflètent pas le fonctionnement du logiciel de l’entreprise. « Il est impossible pour Kaspersky Lab de fournir une signature ou une mise à jour spécifique à un seul utilisateur de façon secrète et ciblée, car toutes les signatures sont toujours disponibles pour tous nos utilisateurs et les mises à jour sont signées numériquement, ce qui rend impossible de simuler une mise à jour », a indiqué la compagnie dans un communiqué.

La société a ajouté qu’elle appliquait les mêmes normes de sécurité et maintenait les mêmes niveaux d’accès que les autres fournisseurs de sécurité et a réaffirmé qu’elle était disposée à rendre son code source, ses règles de détection des menaces et ses mises à jour disponibles pour vérification par des experts indépendants. Mais comme l’a montré la recherche de M. Wardle, un fournisseur non fiable, un pirate ou un espion ayant accès aux systèmes de ces fournisseurs  peut abuser de son accès pour transformer un logiciel antivirus en un outil de recherche dynamique pour analyser les ordinateurs des clients avec les documents qui contiennent certains mots-clés « Et personne ne le saura jamais, c’est la cybercriminalité parfaite. » a-t-il ajouté. »

/* ]]> */