Kaspersky : l'agent de la NSA aurait exposé les outils de piratage des USA
En installant un générateur de clés malveillant pour activer MS Office

Le , par Michael Guilloux, Chroniqueur Actualités
26/10/2017 : Au début de ce mois, le Wall Street Journal a rapporté que des hackers russes auraient exploité le logiciel antivirus Kaspersky pour dérober des informations sur les outils de piratage de la NSA. Quelques jours plus tard, c’est le New York Times qui a suivi en révélant comment cela se serait passé.

D’après le New York Times, les accusations du gouvernement des États-Unis contre la firme de sécurité russe reposent sur des informations fournies par des hackers du renseignement israélien. Lors d'une intrusion en 2014 dans les systèmes de Kaspersky, ces derniers auraient découvert que les Russes utilisaient Kaspersky pour surveiller des ordinateurs dans le monde entier à la recherche de documents top secret ou classifiés. C’est cette opération russe qui aurait permis de voler des outils de piratage du gouvernement américain, lesquels étaient stockés sur l’ordinateur personnel d’un agent de la NSA qui utilisait Kaspersky. Les hackers du gouvernement israélien ont ensuite fourni à leurs homologues de la NSA « des preuves solides de la campagne du Kremlin sous forme de captures d'écran et d'autres documents », selon les sources du New York Times.

Le géant russe a bien évidemment nié toute connaissance ou implication dans le piratage russe et demandé toute information pertinente et vérifiable qui permettrait à l'entreprise d'ouvrir une enquête dès que possible. Si la firme de sécurité ne peut compter sur la collaboration du gouvernement américain pour élucider l’affaire, Kaspersky Lab a mené de son côté une enquête sur les faits avancés.

Ce mercredi, la firme basée à Moscou a déclaré dans un communiqué que les résultats d'une enquête préliminaire ont permis de reconstituer de manière chronologique ce qui aurait pu se passer. Et ils indiquent que l’agent de la NSA aurait exposé les outils de piratage des USA, en installant un générateur de clés malveillant pour activer une copie piratée de Microsoft Office.

Dans son communiqué, Kaspersky Lab explique que début octobre 2014, l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013. Il faut en effet noter qu'avec ce genre de logiciel, les utilisateurs doivent souvent désactiver leur antivirus afin de pouvoir les exécuter ; et c'est ce qu'aurait fait l'agent de la NSA.

« Pour installer et exécuter ce keygen, l'utilisateur semble avoir désactivé les produits Kaspersky sur sa machine », a déclaré Kaspersky Lab dans son rapport. « Notre télémétrie ne nous permet pas de dire quand l'antivirus a été désactivé, cependant, le fait que le malware keygen a été détecté plus tard comme étant en cours d'exécution dans le système suggère que l'antivirus avait été désactivé ou n'était pas en cours d'exécution. L'exécution du keygen n'aurait pas été possible avec l'antivirus activé. » Kaspersky précise aussi que le keygen téléchargé avec un fichier ISO d'Office 2013 cachait un logiciel malveillant baptisé Win32.Mokes.hvl, qui figurait sur la liste noire de la firme de sécurité depuis 2013.

Plus tard, quand Kaspersky a été réactivé sur la machine, l'utilisateur a été averti que son ordinateur était infecté, il a donc demandé à l'antivirus d'analyser le PC et supprimer toutes les menaces. L'antivirus a alors supprimé le malware Win32.Mokes.hvl, mais a également trouvé plusieurs programmes qui ressemblaient aux cyberarmes de l'Equation Group de la NSA et que Kaspersky connaissait déjà. Ces fichiers suspects ont donc été renvoyés aux serveurs de Kaspersky pour une analyse plus approfondie.

Il est important de noter que les utilisateurs peuvent configurer le logiciel de Kaspersky pour ne pas envoyer d'échantillons suspects à l'entreprise russe, mais dans ce cas, l'agent de la NSA n'aurait pas activé cette option, ainsi les fichiers ont pu être envoyés à Kaspersky.

Selon la firme de sécurité, l'un de ses chercheurs a reconnu avoir reçu des logiciels malveillants très avancés, et a rapporté la découverte au PDG de Kaspersky. « L'un des fichiers détectés par le produit comme de nouvelles variantes du logiciel malveillant Equation APT était une archive 7zip », explique Kaspersky. « L'archive elle-même a été détectée comme malveillante et soumise pour analyse à Kaspersky Lab, où elle a été traitée par l'un des analystes. Lors du traitement, il a été constaté que l'archive contenait plusieurs exemples de programmes malveillants et de code source pour ce qui semblait être un logiciel malveillant de l'Equation Group. »

Après avoir découvert le code source du logiciel malveillant supposé être de l'Equation Group, l'analyste a signalé l'incident au PDG. « Suite à une demande du PDG, l'archive a été supprimée de tous nos systèmes », explique l'entreprise. Avant d'ajouter que « l'archive n'a pas été partagée avec des tiers. »

En général, Kaspersky partage les informations sur les menaces de cybersécurité, telles que de nouvelles souches de logiciels espions et d'autres logiciels malveillants, avec ses grands clients et les gouvernements. Cependant, dans ce cas, Kaspersky dit ne pas l'avoir fait ; cela suggère que si des hackers russes ont pu avoir accès aux outils de piratage des États-Unis, ce ne serait pas via le logiciel antivirus du géant russe de la sécurité. « L'enquête n'a révélé aucun autre incident connexe en 2015, 2016 ou 2017. Aucune autre intrusion d’un tiers, en plus de Duqu 2.0, n'a été détectée dans les réseaux de Kaspersky Lab. L'enquête a confirmé que Kaspersky Lab n'a jamais créé d'outil de détection de fichiers non malveillants dans ses produits basés sur des mots-clés tels que "top secret" et "classifié" », ajoute Kaspersky pour se dédouaner.

Ainsi, Kaspersky semble insinuer que n'importe qui aurait pu exploiter le keygen pour se connecter à distance à la machine et voler les informations top secrètes que l'employé de la NSA a ramenées à la maison, plutôt que d'exploiter son antivirus. En emportant chez lui des logiciels espions du gouvernement américain et en installant un keygen malveillant pour activer une copie piratée de Microsoft Office sur son PC, l'agent de la NSA aurait donc exposé des cyberarmes confidentielles à des pirates.

Mise à jour le 17/11/2017 : Kaspersky indique un accès possible de plusieurs tiers au PC contenant les données classifiées

Dans un nouveau rapport, Kaspersky Lab confirme ses premiers résultats dans le cadre de l'enquête sur le possible abus de son produit par les Russes pour voler des données classifiées de la NSA. En d'autres termes, le PC de l'agent de la NSA était infecté par un logiciel malveillant qui aurait permis à des attaquants de voler les données classifiées du renseignement américain. Kaspersky explique que Mokes, le malware en question qui permet d'accéder à un ordinateur à distance, est apparu sur les forums underground russes en 2011. Et c’était bien connu. Les recherches de la firme de sécurité montrent aussi que, de septembre à novembre 2014, les serveurs de commande et de contrôle de ce malware ont été enregistrés au nom d'une entité, apparemment chinoise, appelée « Zhou Lou ».

La firme de cybersécurité a également fourni des informations supplémentaires sur l'analyse de la télémétrie liée à l'incident. Cette télémétrie décrit les activités suspectes enregistrées sur l'ordinateur en question pendant la période de l'incident, qui a eu lieu en 2014. Une analyse plus approfondie de la télémétrie a montré que Mokes n'était peut-être pas le seul logiciel malveillant ayant infecté le PC en question au moment de l'incident. Il y avait en effet d'autres outils d'activation illégaux et keygens qui avaient été détectés sur la même machine. Sur la période de deux mois, le produit a signalé 121 éléments de logiciels malveillants n'ayant rien à voir avec l'Equation. Il s'agit notamment de backdoors, exploits, chevaux de Troie et AdWare.
Sources : Résultats préliminaires, Nouveau rapport Kaspersky

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 26/10/2017 à 13:44
Citation Envoyé par AndMax Voir le message
Donc tu penses qu'il est légitime qu'un éditeur de logiciels surveille ses utilisateurs (ici avec le motif que ce sont des "hackers") ?
Non en mais en fait c'est pas ça qui c'est passé.
L'anti virus a trouver des fichiers infecté, ils ont été uploadé chez Kaspersky et voilà !

Mais dans l'absolu c'est mieux de surveiller les fichiers infecté d'un groupe de hacker, que les fichiers infecté d'un type normal.
Par exemple si Avast avait sortie un remède contre les ramsonware directement au début, parce qu'ils espionnaient les hackers, tout le monde aurait trouvé ça super cool.

C'est mieux expliqué là :
Citation Envoyé par Michael Guilloux Voir le message
Dans son communiqué, Kaspersky Lab explique que début octobre 2014, l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013. Il faut en effet noter qu'avec ce genre de logiciel, les utilisateurs doivent souvent désactiver leur antivirus afin de pouvoir les exécuter ; et c'est ce qu'aurait fait l'agent de la NSA.

« Pour installer et exécuter ce keygen, l'utilisateur semble avoir désactivé les produits Kaspersky sur sa machine », a déclaré Kaspersky Lab dans son rapport. « Notre télémétrie ne nous permet pas de dire quand l'antivirus a été désactivé, cependant, le fait que le malware keygen a été détecté plus tard comme étant en cours d'exécution dans le système suggère que l'antivirus avait été désactivé ou n'était pas en cours d'exécution. L'exécution du keygen n'aurait pas été possible avec l'antivirus activé. » Kaspersky précise aussi que le keygen téléchargé avec un fichier ISO d'Office 2013 cachait un logiciel malveillant baptisé Win32.Mokes.hvl, qui figurait sur la liste noire de la firme de sécurité depuis 2013.

Plus tard, quand Kaspersky a été réactivé sur la machine, l'utilisateur a été averti que son ordinateur était infecté, il a donc demandé à l'antivirus d'analyser le PC et supprimer toutes les menaces. L'antivirus a alors supprimé le malware Win32.Mokes.hvl, mais a également trouvé plusieurs programmes qui ressemblaient aux cyberarmes de l'Equation Group de la NSA et que Kaspersky connaissait déjà. Ces fichiers suspects ont donc été renvoyés aux serveurs de Kaspersky pour une analyse plus approfondie.

Il est important de noter que les utilisateurs peuvent configurer le logiciel de Kaspersky pour ne pas envoyer d'échantillons suspects à l'entreprise russe, mais dans ce cas, l'agent de la NSA n'aurait pas activé cette option, ainsi les fichiers ont pu être envoyés à Kaspersky.
Avatar de micka132 micka132 - Membre expert https://www.developpez.com
le 26/10/2017 à 15:06
Donc en fait la faute revient au bureau voisin qui fait les keygens?

A part ça, comment ils font tous pour savoir ce qui s'est passé sur l'ordi d'un gars à l'autre bout de la planète, il y a 4 ans?
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 26/10/2017 à 15:16
Citation Envoyé par micka132 Voir le message
comment ils font tous pour savoir ce qui s'est passé sur l'ordi d'un gars à l'autre bout de la planète, il y a 4 ans?
Il doit y avoir des logs.
Kaspersky doit avoir une base des fichiers infecté téléchargé avec le noms des infections trouvé.
En redémarrant, l'anti virus a du voir que Microsoft Office avait changé de clé.
C'est possible.
Avatar de marsupial marsupial - Membre expérimenté https://www.developpez.com
le 26/10/2017 à 16:17
Rocambolesque, grave rocambolesque

Il y en a un qui veut rejeter sa faute sur l'autre qui ne veut pas dire qu'il en profite. MDR !
Avatar de micka132 micka132 - Membre expert https://www.developpez.com
le 26/10/2017 à 16:21
Citation Envoyé par Ryu2000 Voir le message
Il doit y avoir des logs.
Kaspersky doit avoir une base des fichiers infecté téléchargé avec le noms des infections trouvé.
Je veux bien avoir des logs avec des informations techniques de la machine, dont l'adresse Mac, mais pour le reste...comment on peut savoir à qui appartient l'ordi? Avec le nom de session? Ca serait pas très sérieux comme analyse!
Avatar de Maybeking Maybeking - Futur Membre du Club https://www.developpez.com
le 26/10/2017 à 17:39
Selon la firme de sécurité, l'un de ses chercheurs a reconnu avoir reçu des logiciels malveillants très avancés, et a rapporté la découverte au PDG de Kaspersky.
« Suite à une demande du PDG, l'archive a été supprimée de tous nos systèmes », explique l'entreprise
Hahahaha
Il me font bien rire ces russes !
Comme si un entreprise de sécurité informatique qui tombe sur un nouveau logiciel malveillant inédit allait se dire : "Oh, un nouveau logiciel malveillant ! Hop, on le fout à la poubelle !"

Ils ont perdu toute crédibilité ...
Avatar de AndMax AndMax - Membre averti https://www.developpez.com
le 26/10/2017 à 23:05
Citation Envoyé par Ryu2000 Voir le message
Mais dans l'absolu c'est mieux de surveiller les fichiers infecté d'un groupe de hacker, que les fichiers infecté d'un type normal.
Comment un AV peut-il faire la différence entre un "hacker" est un type normal, et quelle est ta définition de hacker ?

Moi je trouve complètement aberrant qu'un propriétaire d'une machine accepte qu'un programme puisse envoyer un fichier à l'autre bout du monde sans son consentement et sans qu'il soit au courant. Là on ne parle donc pas d'un AV mais d'un malware, même s'il y aurait soit-disant des machins qu'on peut cocher pour essayer de croire que l'AV va éventuellement respecter ta vie privée si tu lui demandes. Je pense que les gens qui installent Kaspersky sur leur machine ne peuvent en AUCUN cas être des hackers (sauf s'ils l'ont fait pour décompiler le bouzin).
Avatar de Ryu2000 Ryu2000 - Expert confirmé https://www.developpez.com
le 27/10/2017 à 8:19
Citation Envoyé par AndMax Voir le message
Comment un AV peut-il faire la différence entre un "hacker" est un type normal, et quelle est ta définition de hacker ?
Là dans ce cas, ça devait être des personnes qui développaient des malwares.

Citation Envoyé par AndMax Voir le message
Je pense que les gens qui installent Kaspersky sur leur machine ne peuvent en AUCUN cas être des hackers (sauf s'ils l'ont fait pour décompiler le bouzin).
Il faut bien un antivirus et Kaspersky est loin d'être le pire.
Ou alors c'est pour tester que leur malwares sont indétectable par tous les antivirus.

Citation Envoyé par AndMax Voir le message
Moi je trouve complètement aberrant qu'un propriétaire d'une machine accepte qu'un programme puisse envoyer un fichier à l'autre bout du monde sans son consentement et sans qu'il soit au courant.
Ça doit être écrit dans le règlement et tu peux désactiver cette option.
Ça n'upload que des fichiers infectés.
Avatar de hotcryx hotcryx - Membre émérite https://www.developpez.com
le 27/10/2017 à 10:57
« Suite à une demande du PDG, l'archive a été supprimée de tous nos systèmes », explique l'entreprise
Ca pue le mensonge des média.
Kaspersky normalement ne supprime pas les fichiers incréminés, il les bloque et les met en quarantaine dans un folder sécurisé.

Kaspersky dérange car ils sont russes et font un excellent travail de détection de virus (j'ai pas dit malware).
Kaspersky free détecte ~93% des virus, le reste pouvant être détecté par malwarebytes...
Pourquoi leur produit est bien plus cher que Bitdefender et Macafee!
Simplement parce qu'ils sont meilleurs.
Avatar de AndMax AndMax - Membre averti https://www.developpez.com
le 27/10/2017 à 21:38
Kaspersky free détecte ~93% des virus
Source ? Puis-je en conclure que TU connais 100% des virus.
Avatar de Fagus Fagus - Membre régulier https://www.developpez.com
le 02/11/2017 à 21:49
Citation Envoyé par Michael Guilloux Voir le message
l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013.
C'est du propre pour un "expert" en sécurité de rater un piratage domestique... Et puis, quand on lance un keygen, on le met dans une machine virtuelle jetable coupée du réseau, depuis un compte pas admin, au moins.

Quant à la possibilité de sortir de la NSA et de ramener sur un PC non sécurisé chez soit des outils secret-défense, ça laisse songeur.
Avatar de niklat niklat - Nouveau Candidat au Club https://www.developpez.com
le 06/11/2017 à 13:33
Test
Avatar de hotcryx hotcryx - Membre émérite https://www.developpez.com
le 17/11/2017 à 14:01
Citation Envoyé par AndMax Voir le message
Comment un AV peut-il faire la différence entre un "hacker" est un type normal
via un keylogger ^^
Avatar de hotcryx hotcryx - Membre émérite https://www.developpez.com
le 17/11/2017 à 14:03
Citation Envoyé par AndMax Voir le message
Source ? Puis-je en conclure que TU connais 100% des virus.
C'est moi qui est dit ça???
Moi non, mais Kaspersky les connait.
Avatar de VBrice VBrice - Membre habitué https://www.developpez.com
le 17/11/2017 à 15:25
@hotcryx,@AndMax:
hotcryx: Kaspersky free détecte ~93% des virus
AndMax: Source ? Puis-je en conclure que TU connais 100% des virus.

AndMax veut probablement dire que personne ne connaît 100% des virus, ni même les AV d’ailleurs, car il existe certainement un grand nombre qui n'est pas encore découvert et qui ne le seront peut-être jamais, qui sait.
Du coup, quand hotcryx parle de 93%, c'est plutôt 93% d'un échantillon de virus connu (ou 100% est le nombre total de l'échantillon) , ou 93% des virus qui sont actuellement détecté/connu (où 100% est le nombre total de virus connu par tout AV confondus).

Avatar de vizivir vizivir - Nouveau membre du Club https://www.developpez.com
le 17/11/2017 à 16:47
personne ne connais 100 % des virus meme les société d'antivirus :
- les société d'antivirus mettent du temps a découvrir qu'un virus en est'un de plus ces société font "exprès " de mettre du temps à se transmettre les signatures des virus
-un virus devient un virus uniquement lorsque des expert repaire qu'l est malveillant donc tant que personne na jeté un oeil aux code ce n'est pas un virus .
un virus existant tu change 2 pauvre ligne la signature change et voila il n'est plus détecté.
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 17/11/2017 à 18:04
En résumé, l'employé de la NSA a copié des outils classifiés sur une passoire. Un ordi personnel bourré de Trojans avec Antivirus/Firewall sciemment désactivés.

Que ce soit son ordi personnel ou l'ordi familial, c'est une faute plus que lourde, doublée d'une incompétence rare. Sur un PC familial, tout le monde sait que le conjoint/enfant est susceptible de s'adonner au piratage en masse, quitte à désactiver l'antivirus pour satisfaire son besoin.

Si c'est son ordi perso, alors il est inconscient et incompétent, puisqu'apparemment l'ordi en question avait l'antivirus désactivé au moment de la copie de ces fichiers... Même si c'est limite de ramener du travail important chez soi, on fait au moins plusieurs scans, même avec Windows Defender (enfin bon, j'imagine que son Windows devait aussi être cracké).
Avatar de hotcryx hotcryx - Membre émérite https://www.developpez.com
le 20/11/2017 à 17:24
Citation Envoyé par VBrice Voir le message
@hotcryx,@AndMax:

AndMax veut probablement dire que personne ne connaît 100% des virus, ni même les AV d’ailleurs, car il existe certainement un grand nombre qui n'est pas encore découvert et qui ne le seront peut-être jamais, qui sait.
Du coup, quand hotcryx parle de 93%, c'est plutôt 93% d'un échantillon de virus connu (ou 100% est le nombre total de l'échantillon) , ou 93% des virus qui sont actuellement détecté/connu (où 100% est le nombre total de virus connu par tout AV confondus).

93% d'un gros test avec de méchants virus de toutes sortes (dont des malwares).
Faites le test avec Bitdefender... vous arriverez peut-être pas à ce résultat
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 21/11/2017 à 17:06
Citation Envoyé par Ryu2000 Voir le message
Non, il y a relativement plus de Russes qui sont satisfait de Poutine que de Français qui sont satisfait de Macron.
Après pour les USA et Trump je ne connais pas exactement la popularité, mais ça doit pas être extremement haut non plus.

Donc on ne peut pas dire que la Russie soit moins démocratique que la France ou les USA.
Après je ne dis pas que c'est un système parfait, mais simplement que nous ne sommes pas mieux qu'eux.

Pas de surprise: pourquoi la moitié des Russes veut reconduire Poutine au pouvoir

Nous on a pas de chef avec des succès passés, Macron était ministre de la finance et son bilan n'était pas positif...
On appelle ça le culte de la personnalité et le musellement des opposants. C'est très connu. Qui n'est pas "satisfait" de Kim Jong Hun en Corée du Nord ? Tu ne trouveras personne pour en dire du mal ou froisser ses affiches.

Que ce soit côté Russe ou Américain, aucun des 2 ne donne envie d'être défendus. Même si les Russes font un peu moins dans la dentelle (genre annexer un Etat), et sont plus "grossier" (genre les documents falsifiés sur Macron, avec signature numérique Russe...). Tant mieux qu'on dénonce ces faits. Après, à nous de nous faire notre opinion.

Je vomis un peu plus la Russie que les USA, parce que ça fait plusieurs fois qu'on les voit interférer dans des élections (à part si les auteurs utilisent des VPN ou Excel Russes pour brouiller les pistes), dont les nôtres. Je n'ai pas vu les USA aller jusque-là.
Contacter le responsable de la rubrique Accueil