Deux anciens employés de Kaspersky Lab, l’éditeur de logiciel antivirus, auraient divulgué des détails au quotidien Reuters sur une opération secrète lancée il y a déjà plus d’une décennie, avec une apogée atteinte entre 2009 et 2013.L’affaire aurait commencé lorsqu’Eugene Kaspersky, le PDG de Kaspersky Lab, aurait senti que des entreprises rivales tentaient de répliquer leur technologie au lieu de développer la leur, profitant ainsi du travail de ses équipes après que de nombreuses entreprises sur le marché de l’antivirus aient entrepris de collaborer afin de se partager des informations sur les virus, les logiciels malveillants, et etc.
Dans l’optique de discréditer ses compétiteurs, il aurait créé une section fantôme dans son entreprise avec pour consignes d’effectuer un reverse engineering sur les outils de détection des virus de la compétition et de chercher un moyen de déclencher des faux positifs afin qu’ils identifient des logiciels inoffensifs comme étant malveillants.
Durant cette décennie, les opportunités d’obtenir de tels résultats vont être revues à la hausse suite au nombre croissant de logiciels dangereux qui vont inciter les entreprises dans cette industrie à collaborer ; elles vont échanger des échantillons de logiciels malveillants et envoyer des fichiers suspects à des agrégateurs comme VirusTotal de Google.
Comment ces plateformes augmentaient elles les probabilités de réussite de cette entreprise ? Les anciens employés ont expliqué que l’une des techniques utilisées par les ingénieurs était de prendre un morceau logiciel important qui était souvent trouvé sur PC et d’y injecter du code afin que le fichier semble infecté. Par la suite, le fichier trafiqué serait alors envoyé anonymement à VirusTotal par exemple. Puis, lorsque les compétiteurs vont scanner le fichier trafiqué via leur moteur de détection, le fichier serait alors marqué comme potentiellement dangereux. Si le fichier trafiqué ressemblait alors suffisamment à l’original, Kaspersky pouvait tromper les entreprises rivales en leur faisant croire que le fichier sain était également problématique.
Reuters a noté qu’en 2010 Kaspersky Lab s’était plaint ouvertement de copieurs au sein de l’industrie, demandant plus de respect pour la propriété intellectuelle tandis que le partage de données devenait de plus en plus répandu. Dans le but de prouver que d’autres entreprises récoltaient les fruits de son travail, Kaspersky a avancé avoir effectué une expérience : 10 fichiers inoffensifs ont été créés et envoyés à VirusTotal comme étant malveillant. En moins de deux semaines, tous les 10 fichiers ont été déclarés au sein de 14 entreprises en sécurité qui ont simplement suivi aveuglément l’exemple de Kaspersky, selon une analyse média présentée par Magnus Kalkuhl, analyste senior au sein de Kaspersky, à Moscou en janvier 2010. Comme les plaintes de Kaspersky n’ont pas conduit à des changements significatifs, les anciens employés ont confié que l’entreprise a décidé d’intensifier le sabotage.
Face à la publication de cet article de Reuters, Kaspersky a publié un communiqué de presse. « Contrairement aux allégations faites dans un article de Reuters, Kaspersky Lab n'a jamais mené une campagne secrète pour tromper les concurrents en générant de faux positifs afin de nuire à leur position sur le marché. De telles actions sont contraires à l'éthique, malhonnêtes et illégales. Les accusations faites anonymement par des ex-employés mécontents selon lesquelles Kaspersky Lab, ou son chef de la direction, a été impliqué dans ces incidents sont sans fondement et tout simplement fausses. En tant que membre de la communauté de la sécurité, nous partageons nos données sur les menaces ainsi que nos IoC sur des acteurs de menaces avancées avec d'autres fournisseurs, et nous recevons et analysons également les données des menaces fournies par d'autres. Bien que le marché de la sécurité soit très compétitif, des échanges fiables de données de menace sont une partie essentielle à la sécurité générale de l'ensemble de l'écosystème TIC, et nous nous battons durement dans l’optique d’aider à s’assurer que cet échange ne soit pas compromis ou corrompu ».
Et de préciser « En 2010, nous avons mené une expérience unique en téléchargeant seulement 20 échantillons de fichiers non malveillants dans le multi-scanner VirusTotal, qui n’allait pas causer de faux positifs vu que ces fichiers étaient absolument propres, inutiles et inoffensifs. Après l'expérience, nous l’avons rendue publique et avons fourni tous les échantillons utilisés aux médias afin qu'ils puissent les tester eux-mêmes. Nous avons mené l'expérience pour attirer l'attention de la communauté de la sécurité sur le problème de l'insuffisance de la détection multi-scanner lorsque les fichiers sont bloqués seulement parce que d'autres vendeurs les détectent comme étant malveillants, sans examen réel de l'activité du fichier (comportement). https://securelist.com/blog/opinions...etter-testing/. Après cette expérience, nous avons eu une discussion avec l'industrie antivirus sur cette question et avons compris que nous étions d'accord sur tous les points principaux ».
L’entreprise a même expliqué qu’en « 2012, Kaspersky Lab était parmi les entreprises touchées par une source anonyme qui avait effectué un upload de mauvais fichiers dans VirusTotal, conduisant à un certain nombre d'incidents de détections de faux positifs. Pour résoudre ce problème, en octobre 2013, lors de la Conférence VB à Berlin il y a eu une réunion privée entre les éditeurs de logiciels antivirus pour échanger les informations sur les incidents, travailler sur les motifs derrière cette attaque et de développer un plan d'action. Il est encore difficile de savoir qui était derrière cette campagne ».
Eugene Kaspersky a laissé éclater sa colère dans un billet incendiaire où il a déclaré que l’article de Reuters était « plein de sensationnel et de fausses allégations ». « Les anciens employés mécontents disent souvent des choses désagréables sur leur ancien employeur, mais, dans ce cas, le mensonge est tout simplement ridicule » a-t-il dit avant d’ajouter « peut-être que ces sources ont réussi à impressionner les journalistes, mais, à mon avis, publier une telle ‘exclusivité’ – SANS LA MOINDRE PREUVE – n’est pas ce que je crois être du bon journalisme ».
Source : Reuters, blog Kaspersky, billet Eugene Kaspersky
Et vous ?
Qu'en pensez-vous ? 
Envoyé par Pomalaix
