Kaspersky aurait volontairement modifié son logiciel antivirus
Pour aider la Russie à voler les secrets des États-Unis

Le , par Christian Olivier, Chroniqueur Actualités
La rumeur qui alimente la controverse selon laquelle Kaspersky Lab, une entreprise technologique russe basée à Moscou et spécialisée dans la cybersécurité, serait en réalité un pion à la solde du Kremlin connait de nombreux développements depuis plusieurs semaines. À titre de rappel, le programme antivirus de Kaspersky est utilisé par plus de 400 millions de personnes à travers le monde.

D’après les dernières informations fournies par le média Wall Street Journal (WSJ), il semble que la société Kaspersky ait, en toute connaissance de cause, modifié son logiciel antivirus pour aider la Russie à voler les informations sensibles détenues par les États-Unis. Ces observations rapportées par WSJ découleraient d’expérimentations effectuées durant plusieurs mois sur Kaspersky AV par les services américains compétents.

Le logiciel antivirus de Kaspersky est censé détecter tous les éléments malveillants sur un ordinateur, mais il est aussi capable d’identifier d’autres types de données comme les « signatures silencieuses ». Ces dernières peuvent, par exemple, être exploitées pour rechercher des documents spécifiques en utilisant des mots clés ou des acronymes. En se basant sur cet aspect du fonctionnement normal de cet outil, de nouvelles études américaines tendent à prouver que Kaspersky AV peut exploiter des mécanismes de recherche faisant appel à des mots clés ou des acronymes tels que « top secret » à des fins de cyberespionnage.


Les sources de WSJ ayant requis l’anonymat qui soutiennent cette version justifient leur propos par le fait que certains mots clés et acronymes sont recherchés de manière automatique par le logiciel de Kaspersky Lab. Paradoxalement, certains documents de supervision personnels ou appartenant à différents services du gouvernement américain qui pourraient susciter le vif intérêt des services de renseignement étrangers peuvent comporter des éléments ciblés par ces techniques de recherche de Kaspersky AV.

Pour ces personnes, cette « particularité » est suffisante pour démontrer que Kaspersky Lab serait une composante majeure du dispositif d’espionnage à grande échelle des services de renseignement russes. Et comme l’a précisé une source du WSJ, « il est impossible que les responsables de Kaspersky n’aient pas connaissance de ce mode fonctionnement inhérent à leur logiciel. »

Pour rappel, le gouvernement russe aurait réussi à s’approprier de manière illégale des données sensibles qui appartiendraient à la NSA. Des « personnes proches de l’affaire » estiment que c’est le logiciel antivirus distribué par Kaspersky Lab qui aurait permis au Kremlin de réaliser cette opération qui rentre dans le cadre du cyberespionnage.

À l’origine de l’affaire, il y aurait un employé américain de la NSA qui travaillait avec le Tailored Access Operations, un groupe qui met au point des outils de piratage pour la NSA. En 2015, cet employé aurait ramené à son domicile un ordinateur portable comportant du code ainsi que d’autres documents classifiés et sur lequel était installé le logiciel antivirus Kaspersky. Ce dernier aurait identifié (à tort ou à raison) un élément comme étant malveillant sur la machine de l’employé et l’a transféré à Kaspersky pour analyse, une procédure on ne peut plus normale pour n’importe quel logiciel du même genre.

C’est la mise en quarantaine des éléments détectés comme malveillants par le logiciel de Kaspersky pour analyse qui aurait mis la puce à l’oreille à l’agence de renseignement de la Russie. Se rendant compte de la présence d’éléments top secret appartenant à la NSA, les services secrets russes auraient alors décidé de pirater entièrement la machine d’où provenaient les données sensibles afin de récupérer toutes les informations qui s’y trouvaient.

Malheureusement, aucun média n’a jusqu’à présent pris la peine de fournir des informations détaillées sur la manière dont l’ordinateur portable de l’employé incriminé aurait pu être piraté. De même, aucune source ne révèle pourquoi il a fallu attendre aussi longtemps (plus d’un an) avant que l’acte supposé de piratage ne soit divulgué.

De toute évidence, personne dans cette affaire ne semble chercher à savoir pourquoi cet employé, si tant est qu’il existe, a ramené des informations aussi sensibles à son domicile. De plus, si les données détectées comme des menaces par l’antivirus de Kaspersky étaient, par exemple, des outils de piratage développés la NSA, cela ne prouverait-il pas au moins que cet antivirus russe est plutôt efficace ?


À ce propos, Eugène Kaspersky, le fondateur de cette entreprise technologique russe, a d’ailleurs déclaré : « Au regard de son statut d’entreprise privée, Kaspersky Lab n’entretient pas de relations inappropriées avec un quelconque gouvernement [...] Kaspersky Lab est simplement pris en étau, au beau milieu d’une lutte géopolitique acharnée. » La société russe de cybersécurité n’a pas manqué de rappeler qu’elle était prête à collaborer avec les autorités américaines afin de lever le doute sur l’intégrité de ses produits.

La position américaine, faut-il le rappeler, a connu une évolution rapide depuis l’échec du parti démocrate américain aux dernières élections US qui ont permis l’accession de Donald Trump à la magistrature suprême des États-Unis. Dès ce moment, les démocrates ont décidé d’attribuer leur contre-performance électorale à une longue opération de piratage informatique montée de toutes pièces par la Russie avec la complicité de Trump afin de déstabiliser les États-Unis. D’ailleurs, à plusieurs reprises déjà, de supposés liens de connivence entre Trump et Poutine ont été rapportés par des médias américains.

Plus récemment, c’est le Département américain de la sécurité intérieure (DHS) qui s’est démarqué en rendant effective la mesure visant à interdire l’usage du logiciel antivirus Kaspersky dans toutes les agences fédérales américaines. Depuis le mois de septembre, celles-ci disposent de 90 jours pour supprimer complètement le logiciel. Cette mesure représente en réalité les prémices d’un ensemble plus large d’actions menées par le gouvernement américain visant à bannir totalement le logiciel antivirus Kaspersky des entreprises et organisations américaines.

Source : WSJ, UKStar

Et vous ?

Est-ce vraiment important de savoir si Kaspersky travaille (directement, à son insu ou de son plein gré) ou non pour le Kremlin ?
L’origine russe d’un logiciel peut-elle être considérée comme une preuve suffisante de collusion entre l’entreprise et le Kremlin ?
Dès lors, que faudrait-il penser des autres antivirus comme Avast, AVG, Norton ou autres qui sont étrangers à la France ?

Voir aussi

Facebook aurait transmis aux autorités des informations relatives aux pubs achetées par un troll russe pour influencer la campagne présidentielle
C'est en piratant Kaspersky que des hackers israéliens ont découvert que la Russie avait volé des documents de la NSA via le logiciel antivirus
Kaspersky : malgré le boycott de sa solution antivirus aux États-Unis que tente d'orchestrer le FBI, l'éditeur veut rester confiant


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 12/10/2017 à 10:04
Citation Envoyé par Christian Olivier Voir le message
L’origine russe d’un logiciel peut-elle être considérée comme une preuve suffisante de collusion entre l’entreprise et le Kremlin ?
Absolument pas.
Même si il est possible qu'il y ait eu collusion entre le Kremlin et une entreprise, le Kremlin ne va pas s'arranger avec l'intégralité des entreprises qui créer des logiciels en Russie...

Citation Envoyé par Christian Olivier Voir le message
Dès lors, que faudrait-il penser des autres antivirus comme Avast, AVG, Norton ou autres qui sont étrangers à la France ?
Il est plausible que ces logiciels espionnent et revendent les informations à des gouvernements.
C'est pareil avec Facebook, Twitter, Windows, Chrome, Tinder, Snapchat, etc...
Avatar de micka132 micka132 - Membre expert https://www.developpez.com
le 12/10/2017 à 10:53
J'aurais presque envie de sortir le popcorn, sauf que je m’inquiètes du pourquoi on raconte ca au grand public...
Sans blague l'espionnage et contre espionnage ça doit exister depuis les hommes des cavernes, mais c'est censé être secret. Quand on "informe" le grand public c'est très certainement pour désigner un méchant...J'aime pas ça.
Avatar de Cpt Anderson Cpt Anderson - Membre averti https://www.developpez.com
le 12/10/2017 à 10:57
Culé de Russes !!!
Je crois que je lai déjà dis !
Avatar de AndMax AndMax - Membre averti https://www.developpez.com
le 12/10/2017 à 11:00
Citation Envoyé par Christian Olivier Voir le message
Est-ce vraiment important de savoir si Kaspersky travaille (directement, à son insu ou de son plein gré) ou non pour le Kremlin ?
Si le verbe "travaille" est au présent, alors cela n'a aucune importance: un éditeur qui ne travaille pas actuellement avec des espions qui n'ont pas les mêmes intérêts que vous pourrait très bien décider de le faire dans une heure. Donc le passé et présent immédiat c'est éventuellement intéressant pour celui qui s'est fait avoir, mais sans importance pour quelqu'un qui doit choisir un outil pour les 2 ans à venir.

Citation Envoyé par Christian Olivier Voir le message
L’origine russe d’un logiciel peut-elle être considérée comme une preuve suffisante de collusion entre l’entreprise et le Kremlin ?
Non

Citation Envoyé par Christian Olivier Voir le message
Dès lors, que faudrait-il penser des autres antivirus comme Avast, AVG, Norton ou autres qui sont étrangers à la France ?
Exactement la même chose. Avast, AVG et Norton ont comme points communs que ce sont tous des logiciels privateurs (donc malveillants), le code source est caché, ils changent tout ce qu'ils veulent quand ils veulent lors de mises à jour, obscurantisme total pour l'utilisateur.

Ce qui est important, ce n'est pas l'origine, mais le "contrat" entre l'éditeur / l'auteur et l'utilisateur. Si l'utilisateur accepte sur ses systèmes des outils pour lesquels il n'a pas le code source, qu'il ne peut donc pas faire auditer régulièrement, et qui changent leur fonctionnalités sans prévenir, selon la seule volonté de l'éditeur, alors c'est que l'utilisateur n'attache aucune importance à la sécurité de ses systèmes d'informations. Il suffit de lire le contrat de licence pour se rendre compte du déséquilibre entre l'outil, et ce qu'espère en tirer un utilisateur.

ClamAV est sous licence GPL (donc c'est un logiciel libre). L'utilisateur peut consulter les sources, les faire auditer régulièrement, et même modifier/améliorer ce qu'il veut. Pourquoi n'a-t-il pas été cité ?
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 12/10/2017 à 11:06
Citation Envoyé par micka132 Voir le message
Quand on "informe" le grand public c'est très certainement pour désigner un méchant...J'aime pas ça.
Si ce n'est qu'aujourd'hui que vous vous rendez compte que l'on subit une grosse propagande anti Russe... (bon ça va empirer jusqu'à la 3ième guerre mondiale)

C'est assez marrant parce que grâce à des lanceurs d'alerte comme Snowden et Assange, on en a apprit beaucoup sur la surveillance de masse des USA.
On sait qu'ils ont accès à nos emails, nos SMS, nos messages privés, nos appelles, notre position, etc...
On sait qu'il ont mis notre président sur écoute.

Mais ça ne pose de problème à personne, pour nous c'est normal que les USA puisse surveiller tout le monde.
Par contre c'est intolérable que la Russie puisse faire le milliardième de ce que font les états unis...
Hacker la NSA c'est quand même moins grave, que surveiller tout le monde.

Ya comme un 2 poids 2 mesures.
Alors qu'on a pas de raison d'être moins pote avec la Russie qu'avec les USA.
Avatar de guillaume07 guillaume07 - Débutant https://www.developpez.com
le 12/10/2017 à 11:26
"pour nous c'est normal que les USA puisse surveiller tout le monde"

Qu'est ce qui t'a mis ça dans la tête ?
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 12/10/2017 à 11:43
Citation Envoyé par guillaume07 Voir le message
Qu'est ce qui t'a mis ça dans la tête ?
D'après notre gouvernement et nos médias c'est normal que les USA possèdent toutes nos informations personnelles.

Je vous assure que la news "Obama a mit sur écoute les chefs d'états Européen" est passé beaucoup mieux que si la même chose arrivait avec Poutine...
Ceux qui ont le pouvoir en France sont pro USA et anti Russie.

D'ailleurs ça a peut être joué contre Fillon (vu qu'il n'était pas autant anti Russe que les autres).
Avatar de disedorgue disedorgue - Expert éminent https://www.developpez.com
le 12/10/2017 à 12:03
Hmmm....

Une agence de sécurité américaine qui utilise un logiciel de sécurité russe sur ces ordinateurs... cherchez l'erreur

Perso, je crois plus en la marmotte qui emballe le chocolat, c'est plus crédible
Avatar de Danfre Danfre - Candidat au Club https://www.developpez.com
le 12/10/2017 à 12:19
Dans tout ça, on essaye de faire oublier que l'employé de la NSA a violé leurs propres règles de sécurité quand il a fait sortir ces documents.
Les précieuses données auraient pu fuiter par n'importe lequel des autres softs installés sur sa machine, voire par une des failles utilisées par les services américains eux-mêmes pour espionner leurs "alliés". Il aurait même pu les livrer lui même d'ailleurs.

Mais non, c'est tellement plus simple de taper sur Kaspersky, parce qu'ils sont russes.
Avatar de nirgal76 nirgal76 - Membre expérimenté https://www.developpez.com
le 12/10/2017 à 13:34
Ces observations rapportées par WSJ découleraient d’expérimentations effectuées durant plusieurs mois sur Kaspersky AV par les services américains compétents
Rien que cette phrase, ça discrédite tout.
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 12/10/2017 à 18:00
Citation Envoyé par Ryu2000 Voir le message
Si ce n'est qu'aujourd'hui que vous vous rendez compte que l'on subit une grosse propagande anti Russe... (bon ça va empirer jusqu'à la 3ième guerre mondiale)

C'est assez marrant parce que grâce à des lanceurs d'alerte comme Snowden et Assange, on en a apprit beaucoup sur la surveillance de masse des USA.
On sait qu'ils ont accès à nos emails, nos SMS, nos messages privés, nos appelles, notre position, etc...
On sait qu'il ont mis notre président sur écoute.

Mais ça ne pose de problème à personne, pour nous c'est normal que les USA puisse surveiller tout le monde.
Par contre c'est intolérable que la Russie puisse faire le milliardième de ce que font les états unis...
Hacker la NSA c'est quand même moins grave, que surveiller tout le monde.

Ya comme un 2 poids 2 mesures.
Alors qu'on a pas de raison d'être moins pote avec la Russie qu'avec les USA.
peu être mais ce ne rend pas la Russie innocente de tout, c'est quand mème une dictature déguisé en démocratie il ne faudrait pas l'oublier..
ce que les usa arrivent a faire sur leur boites IT en ayant un certain nombre de baton juridique dans les roues est surement moins poussé que ce que la russie peut faire sur ces boites IT vu qu'il n'ont aucun baton dans les roue.
Avatar de Plasma Thruster Plasma Thruster - Futur Membre du Club https://www.developpez.com
le 12/10/2017 à 18:06
Comment dire... il faudrait à un moment qu'ils arrêtent de pleurnicher, ils ont perdus l'élection, ils ne sont pas contents OK... Avant de jeter la faute sur les autres une remise en question ne serait pas vraiment de trop...

Alors oui bien sur la Russie n'est pas clean, et pratique comme tout bon pays l'espionnage (massif ) .

Alors non en aucun cas lorsque j'installe un produit russe sur une machine, je pense espionnage dans la foulée. Sinon on vit dans une paranoïa permanente. Le fait est qu'il est sûr que comme les USA le pratique allégrement, les Russkofs mettent des backdoors dans des logiciels, est-ce que Kaspersky est à la solde du gouvernement Russe ? Peut-être, mais quand l'enquête est basé sur des résultats fournis par des services américains, on peut fortement douter de la véracité desdits résultats.
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 13/10/2017 à 9:16
Citation Envoyé par Aiekick Voir le message
peu être mais ce ne rend pas la Russie innocente de tout, c'est quand mème une dictature déguisé en démocratie il ne faudrait pas l'oublier.
La Russie n'est pas moins démocratique que les pays de l'UE ou les USA...
Ils ont juste un leader charismatique soutenu par la majorité du peuple.
Je sais que pour nous c'est difficilement concevable d'imaginer un président aimé par son peuple, comme il est difficile d'imaginer un chef qui prenne les bonnes décisions pour sont pays.
Il faut dire que nous avons enchaîné Sarkozy, Hollande et Macron, donc niveau popularité et soutien du peuple ce n'est pas trop ça...

Et pour l'espionnage, c'est normal que la Russie cherche à hacker la NSA, les américains ont déjà fait bien pire aux Russes...
Le truc qui me gène c'est que ceux qui ont le pouvoir en France sont super pote avec les USA, alors qu'ils font de la surveillance de masse.
Les USA possèdent toutes nos informations personnelles.
Qu'ils viennent pas se plaindre quand leur service de surveillance se font hacker.
Avatar de Aiekick Aiekick - Membre expérimenté https://www.developpez.com
le 13/10/2017 à 17:55
Citation Envoyé par Ryu2000 Voir le message
La Russie n'est pas moins démocratique que les pays de l'UE ou les USA...
Ils ont juste un leader charismatique soutenu par la majorité du peuple.
Je sais que pour nous c'est difficilement concevable d'imaginer un président aimé par son peuple, comme il est difficile d'imaginer un chef qui prenne les bonnes décisions pour sont pays.
Il faut dire que nous avons enchaîné Sarkozy, Hollande et Macron, donc niveau popularité et soutien du peuple ce n'est pas trop ça...

Et pour l'espionnage, c'est normal que la Russie cherche à hacker la NSA, les américains ont déjà fait bien pire aux Russes...
Le truc qui me gène c'est que ceux qui ont le pouvoir en France sont super pote avec les USA, alors qu'ils font de la surveillance de masse.
Les USA possèdent toutes nos informations personnelles.
Qu'ils viennent pas se plaindre quand leur service de surveillance se font hacker.
je vois que la propagande russe a fait mouche ...
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 16/10/2017 à 8:33
Non, il y a relativement plus de Russes qui sont satisfait de Poutine que de Français qui sont satisfait de Macron.
Après pour les USA et Trump je ne connais pas exactement la popularité, mais ça doit pas être extremement haut non plus.

Donc on ne peut pas dire que la Russie soit moins démocratique que la France ou les USA.
Après je ne dis pas que c'est un système parfait, mais simplement que nous ne sommes pas mieux qu'eux.

Pas de surprise: pourquoi la moitié des Russes veut reconduire Poutine au pouvoir
Un sondage mené par le centre Levada montre que 48% des Russes sont prêts à voter pour Vladimir Poutine à l’élection présidentielle. Poutine domine toujours la scène politique russe, estiment les sociologues : sa popularité s’explique tant par l’absence d’opposition forte que par les souvenirs que les électeurs gardent de ses succès passés. Si Poutine décide de se porter candidat au scrutin de 2018, le pouvoir ne pourrait être mis à mal que par une faible participation.
Nous on a pas de chef avec des succès passés, Macron était ministre de la finance et son bilan n'était pas positif...
Avatar de AndMax AndMax - Membre averti https://www.developpez.com
le 25/10/2017 à 23:08
Les aveux: "Kaspersky aurait « brièvement » possédé des documents classifiés de la NSA"
http://www.numerama.com/politique/30...de-la-nsa.html

Si vous êtes un utilisateur de Kaspersky, pensez-vous qu'ils ont aussi « brièvement » possédé vos documents personnels ?
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 26/10/2017 à 8:19
Citation Envoyé par AndMax Voir le message
Si vous êtes un utilisateur de Kaspersky, pensez-vous qu'ils ont aussi « brièvement » possédé vos documents personnels ?
Si t'es un utilisateur de Windows, Google (Gmail, Youtube, Android), Apple, Facebook, Twitter, Tinder, Snapchat, etc, on est sûr que les services de renseignement US ont accès à tes données personnelles.

Le fonctionnement de l’antivirus de la société téléverse tous les fichiers susceptibles d’être malveillants sur les ordinateurs de ses clients. Or ce sous-traitant conservait des fichiers liés au groupe Equation, un collectif de hackers que Kaspersky surveillait avant de découvrir qu’il était lié à la NSA. M. Kaspersky a refusé de préciser s’il avait informé l’agence américaine de l’erreur faite par son sous-traitant.
Kaspersky a des fichiers qui appartiennent à leur utilisateur, mais ce sont des fichiers susceptibles d'être malveillant.

Ici, il ne s'agit pas de surveillance de masse, Kaspersky en a rien a foutre de vos données personnelles, ce n'est pas la NSA, la CIA ou le FBI...
Là Kaspersky surveillait un groupe de hacker, et ces hackers étaient lié à la NSA.
Avatar de AndMax AndMax - Membre averti https://www.developpez.com
le 26/10/2017 à 12:37
Citation Envoyé par Ryu2000 Voir le message
Là Kaspersky surveillait un groupe de hacker,
Donc tu penses qu'il est légitime qu'un éditeur de logiciels surveille ses utilisateurs (ici avec le motif que ce sont des "hackers") ?
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 26/10/2017 à 13:27
Kaspersky : l’agent de la NSA aurait exposé les outils de piratage des USA
en installant un générateur de clés malveillant pour activer MS Office

26/10/2017 : Au début de ce mois, le Wall Street Journal a rapporté que des hackers russes auraient exploité le logiciel antivirus Kaspersky pour dérober des informations sur les outils de piratage de la NSA. Quelques jours plus tard, c’est le New York Times qui a suivi en révélant comment cela se serait passé.

D’après le New York Times, les accusations du gouvernement des États-Unis contre la firme de sécurité russe reposent sur des informations fournies par des hackers du renseignement israélien. Lors d'une intrusion en 2014 dans les systèmes de Kaspersky, ces derniers auraient découvert que les Russes utilisaient Kaspersky pour surveiller des ordinateurs dans le monde entier à la recherche de documents top secret ou classifiés. C’est cette opération russe qui aurait permis de voler des outils de piratage du gouvernement américain, lesquels étaient stockés sur l’ordinateur personnel d’un agent de la NSA qui utilisait Kaspersky. Les hackers du gouvernement israélien ont ensuite fourni à leurs homologues de la NSA « des preuves solides de la campagne du Kremlin sous forme de captures d'écran et d'autres documents », selon les sources du New York Times.

Le géant russe a bien évidemment nié toute connaissance ou implication dans le piratage russe et demandé toute information pertinente et vérifiable qui permettrait à l'entreprise d'ouvrir une enquête dès que possible. Si la firme de sécurité ne peut compter sur la collaboration du gouvernement américain pour élucider l’affaire, Kaspersky Lab a mené de son côté une enquête sur les faits avancés.

Ce mercredi, la firme basée à Moscou a déclaré dans un communiqué que les résultats d'une enquête préliminaire ont permis de reconstituer de manière chronologique ce qui aurait pu se passer. Et ils indiquent que l’agent de la NSA aurait exposé les outils de piratage des USA, en installant un générateur de clés malveillant pour activer une copie piratée de Microsoft Office.

Dans son communiqué, Kaspersky Lab explique que début octobre 2014, l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013. Il faut en effet noter qu'avec ce genre de logiciel, les utilisateurs doivent souvent désactiver leur antivirus afin de pouvoir les exécuter ; et c'est ce qu'aurait fait l'agent de la NSA.

« Pour installer et exécuter ce keygen, l'utilisateur semble avoir désactivé les produits Kaspersky sur sa machine », a déclaré Kaspersky Lab dans son rapport. « Notre télémétrie ne nous permet pas de dire quand l'antivirus a été désactivé, cependant, le fait que le malware keygen a été détecté plus tard comme étant en cours d'exécution dans le système suggère que l'antivirus avait été désactivé ou n'était pas en cours d'exécution. L'exécution du keygen n'aurait pas été possible avec l'antivirus activé. » Kaspersky précise aussi que le keygen téléchargé avec un fichier ISO d'Office 2013 cachait un logiciel malveillant baptisé Win32.Mokes.hvl, qui figurait sur la liste noire de la firme de sécurité depuis 2013.

Plus tard, quand Kaspersky a été réactivé sur la machine, l'utilisateur a été averti que son ordinateur était infecté, il a donc demandé à l'antivirus d'analyser le PC et supprimer toutes les menaces. L'antivirus a alors supprimé le malware Win32.Mokes.hvl, mais a également trouvé plusieurs programmes qui ressemblaient aux cyberarmes de l'Equation Group de la NSA et que Kaspersky connaissait déjà. Ces fichiers suspects ont donc été renvoyés aux serveurs de Kaspersky pour une analyse plus approfondie.

Il est important de noter que les utilisateurs peuvent configurer le logiciel de Kaspersky pour ne pas envoyer d'échantillons suspects à l'entreprise russe, mais dans ce cas, l'agent de la NSA n'aurait pas activé cette option, ainsi les fichiers ont pu être envoyés à Kaspersky.

Selon la firme de sécurité, l'un de ses chercheurs a reconnu avoir reçu des logiciels malveillants très avancés, et a rapporté la découverte au PDG de Kaspersky. « L'un des fichiers détectés par le produit comme de nouvelles variantes du logiciel malveillant Equation APT était une archive 7zip », explique Kaspersky. « L'archive elle-même a été détectée comme malveillante et soumise pour analyse à Kaspersky Lab, où elle a été traitée par l'un des analystes. Lors du traitement, il a été constaté que l'archive contenait plusieurs exemples de programmes malveillants et de code source pour ce qui semblait être un logiciel malveillant de l'Equation Group. »

Après avoir découvert le code source du logiciel malveillant supposé être de l'Equation Group, l'analyste a signalé l'incident au PDG. « Suite à une demande du PDG, l'archive a été supprimée de tous nos systèmes », explique l'entreprise. Avant d'ajouter que « l'archive n'a pas été partagée avec des tiers. »

En général, Kaspersky partage les informations sur les menaces de cybersécurité, telles que de nouvelles souches de logiciels espions et d'autres logiciels malveillants, avec ses grands clients et les gouvernements. Cependant, dans ce cas, Kaspersky dit ne pas l'avoir fait ; cela suggère que si des hackers russes ont pu avoir accès aux outils de piratage des États-Unis, ce ne serait pas via le logiciel antivirus du géant russe de la sécurité. « L'enquête n'a révélé aucun autre incident connexe en 2015, 2016 ou 2017. Aucune autre intrusion d’un tiers, en plus de Duqu 2.0, n'a été détectée dans les réseaux de Kaspersky Lab. L'enquête a confirmé que Kaspersky Lab n'a jamais créé d'outil de détection de fichiers non malveillants dans ses produits basés sur des mots-clés tels que "top secret" et "classifié" », ajoute Kaspersky pour se dédouaner.

Ainsi, Kaspersky semble insinuer que n'importe qui aurait pu exploiter le keygen pour se connecter à distance à la machine et voler les informations top secrètes que l'employé de la NSA a ramenées à la maison, plutôt que d'exploiter son antivirus. En emportant chez lui des logiciels espions du gouvernement américain et en installant un keygen malveillant pour activer une copie piratée de Microsoft Office sur son PC, l'agent de la NSA aurait donc exposé des cyberarmes confidentielles à des pirates.

Mise à jour le 17/11/2017 : Kaspersky indique un accès possible de plusieurs tiers au PC contenant les données classifiées

Dans un nouveau rapport, Kaspersky Lab confirme ses premiers résultats dans le cadre de l'enquête sur le possible abus de son produit par les Russes pour voler des données classifiées de la NSA. En d'autres termes, le PC de l'agent de la NSA était infecté par un logiciel malveillant qui aurait permis à des attaquants de voler les données classifiées du renseignement américain. Kaspersky explique que Mokes, le malware en question qui permet d'accéder à un ordinateur à distance, est apparu sur les forums underground russes en 2011. Et c’était bien connu. Les recherches de la firme de sécurité montrent aussi que, de septembre à novembre 2014, les serveurs de commande et de contrôle de ce malware ont été enregistrés au nom d'une entité, apparemment chinoise, appelée « Zhou Lou ».

La firme de cybersécurité a également fourni des informations supplémentaires sur l'analyse de la télémétrie liée à l'incident. Cette télémétrie décrit les activités suspectes enregistrées sur l'ordinateur en question pendant la période de l'incident, qui a eu lieu en 2014. Une analyse plus approfondie de la télémétrie a montré que Mokes n'était peut-être pas le seul logiciel malveillant ayant infecté le PC en question au moment de l'incident. Il y avait en effet d'autres outils d'activation illégaux et keygens qui avaient été détectés sur la même machine. Sur la période de deux mois, le produit a signalé 121 éléments de logiciels malveillants n'ayant rien à voir avec l'Equation. Il s'agit notamment de backdoors, exploits, chevaux de Troie et AdWare.
Sources : Résultats préliminaires, Nouveau rapport Kaspersky

Et vous ?

Qu’en pensez-vous ?
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 26/10/2017 à 13:44
Citation Envoyé par AndMax Voir le message
Donc tu penses qu'il est légitime qu'un éditeur de logiciels surveille ses utilisateurs (ici avec le motif que ce sont des "hackers") ?
Non en mais en fait c'est pas ça qui c'est passé.
L'anti virus a trouver des fichiers infecté, ils ont été uploadé chez Kaspersky et voilà !

Mais dans l'absolu c'est mieux de surveiller les fichiers infecté d'un groupe de hacker, que les fichiers infecté d'un type normal.
Par exemple si Avast avait sortie un remède contre les ramsonware directement au début, parce qu'ils espionnaient les hackers, tout le monde aurait trouvé ça super cool.

C'est mieux expliqué là :
Citation Envoyé par Michael Guilloux Voir le message
Dans son communiqué, Kaspersky Lab explique que début octobre 2014, l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013. Il faut en effet noter qu'avec ce genre de logiciel, les utilisateurs doivent souvent désactiver leur antivirus afin de pouvoir les exécuter ; et c'est ce qu'aurait fait l'agent de la NSA.

« Pour installer et exécuter ce keygen, l'utilisateur semble avoir désactivé les produits Kaspersky sur sa machine », a déclaré Kaspersky Lab dans son rapport. « Notre télémétrie ne nous permet pas de dire quand l'antivirus a été désactivé, cependant, le fait que le malware keygen a été détecté plus tard comme étant en cours d'exécution dans le système suggère que l'antivirus avait été désactivé ou n'était pas en cours d'exécution. L'exécution du keygen n'aurait pas été possible avec l'antivirus activé. » Kaspersky précise aussi que le keygen téléchargé avec un fichier ISO d'Office 2013 cachait un logiciel malveillant baptisé Win32.Mokes.hvl, qui figurait sur la liste noire de la firme de sécurité depuis 2013.

Plus tard, quand Kaspersky a été réactivé sur la machine, l'utilisateur a été averti que son ordinateur était infecté, il a donc demandé à l'antivirus d'analyser le PC et supprimer toutes les menaces. L'antivirus a alors supprimé le malware Win32.Mokes.hvl, mais a également trouvé plusieurs programmes qui ressemblaient aux cyberarmes de l'Equation Group de la NSA et que Kaspersky connaissait déjà. Ces fichiers suspects ont donc été renvoyés aux serveurs de Kaspersky pour une analyse plus approfondie.

Il est important de noter que les utilisateurs peuvent configurer le logiciel de Kaspersky pour ne pas envoyer d'échantillons suspects à l'entreprise russe, mais dans ce cas, l'agent de la NSA n'aurait pas activé cette option, ainsi les fichiers ont pu être envoyés à Kaspersky.
Avatar de micka132 micka132 - Membre expert https://www.developpez.com
le 26/10/2017 à 15:06
Donc en fait la faute revient au bureau voisin qui fait les keygens?

A part ça, comment ils font tous pour savoir ce qui s'est passé sur l'ordi d'un gars à l'autre bout de la planète, il y a 4 ans?
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 26/10/2017 à 15:16
Citation Envoyé par micka132 Voir le message
comment ils font tous pour savoir ce qui s'est passé sur l'ordi d'un gars à l'autre bout de la planète, il y a 4 ans?
Il doit y avoir des logs.
Kaspersky doit avoir une base des fichiers infecté téléchargé avec le noms des infections trouvé.
En redémarrant, l'anti virus a du voir que Microsoft Office avait changé de clé.
C'est possible.
Avatar de marsupial marsupial - Membre expérimenté https://www.developpez.com
le 26/10/2017 à 16:17
Rocambolesque, grave rocambolesque

Il y en a un qui veut rejeter sa faute sur l'autre qui ne veut pas dire qu'il en profite. MDR !
Avatar de micka132 micka132 - Membre expert https://www.developpez.com
le 26/10/2017 à 16:21
Citation Envoyé par Ryu2000 Voir le message
Il doit y avoir des logs.
Kaspersky doit avoir une base des fichiers infecté téléchargé avec le noms des infections trouvé.
Je veux bien avoir des logs avec des informations techniques de la machine, dont l'adresse Mac, mais pour le reste...comment on peut savoir à qui appartient l'ordi? Avec le nom de session? Ca serait pas très sérieux comme analyse!
Avatar de Maybeking Maybeking - Futur Membre du Club https://www.developpez.com
le 26/10/2017 à 17:39
Selon la firme de sécurité, l'un de ses chercheurs a reconnu avoir reçu des logiciels malveillants très avancés, et a rapporté la découverte au PDG de Kaspersky.
« Suite à une demande du PDG, l'archive a été supprimée de tous nos systèmes », explique l'entreprise
Hahahaha
Il me font bien rire ces russes !
Comme si un entreprise de sécurité informatique qui tombe sur un nouveau logiciel malveillant inédit allait se dire : "Oh, un nouveau logiciel malveillant ! Hop, on le fout à la poubelle !"

Ils ont perdu toute crédibilité ...
Avatar de AndMax AndMax - Membre averti https://www.developpez.com
le 26/10/2017 à 23:05
Citation Envoyé par Ryu2000 Voir le message
Mais dans l'absolu c'est mieux de surveiller les fichiers infecté d'un groupe de hacker, que les fichiers infecté d'un type normal.
Comment un AV peut-il faire la différence entre un "hacker" est un type normal, et quelle est ta définition de hacker ?

Moi je trouve complètement aberrant qu'un propriétaire d'une machine accepte qu'un programme puisse envoyer un fichier à l'autre bout du monde sans son consentement et sans qu'il soit au courant. Là on ne parle donc pas d'un AV mais d'un malware, même s'il y aurait soit-disant des machins qu'on peut cocher pour essayer de croire que l'AV va éventuellement respecter ta vie privée si tu lui demandes. Je pense que les gens qui installent Kaspersky sur leur machine ne peuvent en AUCUN cas être des hackers (sauf s'ils l'ont fait pour décompiler le bouzin).
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 27/10/2017 à 8:19
Citation Envoyé par AndMax Voir le message
Comment un AV peut-il faire la différence entre un "hacker" est un type normal, et quelle est ta définition de hacker ?
Là dans ce cas, ça devait être des personnes qui développaient des malwares.

Citation Envoyé par AndMax Voir le message
Je pense que les gens qui installent Kaspersky sur leur machine ne peuvent en AUCUN cas être des hackers (sauf s'ils l'ont fait pour décompiler le bouzin).
Il faut bien un antivirus et Kaspersky est loin d'être le pire.
Ou alors c'est pour tester que leur malwares sont indétectable par tous les antivirus.

Citation Envoyé par AndMax Voir le message
Moi je trouve complètement aberrant qu'un propriétaire d'une machine accepte qu'un programme puisse envoyer un fichier à l'autre bout du monde sans son consentement et sans qu'il soit au courant.
Ça doit être écrit dans le règlement et tu peux désactiver cette option.
Ça n'upload que des fichiers infectés.
Avatar de hotcryx hotcryx - Membre émérite https://www.developpez.com
le 27/10/2017 à 10:57
« Suite à une demande du PDG, l'archive a été supprimée de tous nos systèmes », explique l'entreprise
Ca pue le mensonge des média.
Kaspersky normalement ne supprime pas les fichiers incréminés, il les bloque et les met en quarantaine dans un folder sécurisé.

Kaspersky dérange car ils sont russes et font un excellent travail de détection de virus (j'ai pas dit malware).
Kaspersky free détecte ~93% des virus, le reste pouvant être détecté par malwarebytes...
Pourquoi leur produit est bien plus cher que Bitdefender et Macafee!
Simplement parce qu'ils sont meilleurs.
Avatar de AndMax AndMax - Membre averti https://www.developpez.com
le 27/10/2017 à 21:38
Kaspersky free détecte ~93% des virus
Source ? Puis-je en conclure que TU connais 100% des virus.
Avatar de Fagus Fagus - Membre régulier https://www.developpez.com
le 02/11/2017 à 21:49
Citation Envoyé par Michael Guilloux Voir le message
l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013.
C'est du propre pour un "expert" en sécurité de rater un piratage domestique... Et puis, quand on lance un keygen, on le met dans une machine virtuelle jetable coupée du réseau, depuis un compte pas admin, au moins.

Quant à la possibilité de sortir de la NSA et de ramener sur un PC non sécurisé chez soit des outils secret-défense, ça laisse songeur.
Avatar de niklat niklat - Nouveau Candidat au Club https://www.developpez.com
le 06/11/2017 à 13:33
Test
Avatar de hotcryx hotcryx - Membre émérite https://www.developpez.com
le 17/11/2017 à 14:01
Citation Envoyé par AndMax Voir le message
Comment un AV peut-il faire la différence entre un "hacker" est un type normal
via un keylogger ^^
Contacter le responsable de la rubrique Accueil