Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Vol des outils de la NSA : Kaspersky confirme ses résultats préliminaires
Et indique un accès possible de plusieurs tiers au PC contenant les données

Le , par Michael Guilloux

181PARTAGES

15  0 
26/10/2017 : Au début de ce mois, le Wall Street Journal a rapporté que des hackers russes auraient exploité le logiciel antivirus Kaspersky pour dérober des informations sur les outils de piratage de la NSA. Quelques jours plus tard, c’est le New York Times qui a suivi en révélant comment cela se serait passé.

D’après le New York Times, les accusations du gouvernement des États-Unis contre la firme de sécurité russe reposent sur des informations fournies par des hackers du renseignement israélien. Lors d'une intrusion en 2014 dans les systèmes de Kaspersky, ces derniers auraient découvert que les Russes utilisaient Kaspersky pour surveiller des ordinateurs dans le monde entier à la recherche de documents top secret ou classifiés. C’est cette opération russe qui aurait permis de voler des outils de piratage du gouvernement américain, lesquels étaient stockés sur l’ordinateur personnel d’un agent de la NSA qui utilisait Kaspersky. Les hackers du gouvernement israélien ont ensuite fourni à leurs homologues de la NSA « des preuves solides de la campagne du Kremlin sous forme de captures d'écran et d'autres documents », selon les sources du New York Times.

Le géant russe a bien évidemment nié toute connaissance ou implication dans le piratage russe et demandé toute information pertinente et vérifiable qui permettrait à l'entreprise d'ouvrir une enquête dès que possible. Si la firme de sécurité ne peut compter sur la collaboration du gouvernement américain pour élucider l’affaire, Kaspersky Lab a mené de son côté une enquête sur les faits avancés.

Ce mercredi, la firme basée à Moscou a déclaré dans un communiqué que les résultats d'une enquête préliminaire ont permis de reconstituer de manière chronologique ce qui aurait pu se passer. Et ils indiquent que l’agent de la NSA aurait exposé les outils de piratage des USA, en installant un générateur de clés malveillant pour activer une copie piratée de Microsoft Office.

Dans son communiqué, Kaspersky Lab explique que début octobre 2014, l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013. Il faut en effet noter qu'avec ce genre de logiciel, les utilisateurs doivent souvent désactiver leur antivirus afin de pouvoir les exécuter ; et c'est ce qu'aurait fait l'agent de la NSA.

« Pour installer et exécuter ce keygen, l'utilisateur semble avoir désactivé les produits Kaspersky sur sa machine », a déclaré Kaspersky Lab dans son rapport. « Notre télémétrie ne nous permet pas de dire quand l'antivirus a été désactivé, cependant, le fait que le malware keygen a été détecté plus tard comme étant en cours d'exécution dans le système suggère que l'antivirus avait été désactivé ou n'était pas en cours d'exécution. L'exécution du keygen n'aurait pas été possible avec l'antivirus activé. » Kaspersky précise aussi que le keygen téléchargé avec un fichier ISO d'Office 2013 cachait un logiciel malveillant baptisé Win32.Mokes.hvl, qui figurait sur la liste noire de la firme de sécurité depuis 2013.

Plus tard, quand Kaspersky a été réactivé sur la machine, l'utilisateur a été averti que son ordinateur était infecté, il a donc demandé à l'antivirus d'analyser le PC et supprimer toutes les menaces. L'antivirus a alors supprimé le malware Win32.Mokes.hvl, mais a également trouvé plusieurs programmes qui ressemblaient aux cyberarmes de l'Equation Group de la NSA et que Kaspersky connaissait déjà. Ces fichiers suspects ont donc été renvoyés aux serveurs de Kaspersky pour une analyse plus approfondie.

Il est important de noter que les utilisateurs peuvent configurer le logiciel de Kaspersky pour ne pas envoyer d'échantillons suspects à l'entreprise russe, mais dans ce cas, l'agent de la NSA n'aurait pas activé cette option, ainsi les fichiers ont pu être envoyés à Kaspersky.

Selon la firme de sécurité, l'un de ses chercheurs a reconnu avoir reçu des logiciels malveillants très avancés, et a rapporté la découverte au PDG de Kaspersky. « L'un des fichiers détectés par le produit comme de nouvelles variantes du logiciel malveillant Equation APT était une archive 7zip », explique Kaspersky. « L'archive elle-même a été détectée comme malveillante et soumise pour analyse à Kaspersky Lab, où elle a été traitée par l'un des analystes. Lors du traitement, il a été constaté que l'archive contenait plusieurs exemples de programmes malveillants et de code source pour ce qui semblait être un logiciel malveillant de l'Equation Group. »

Après avoir découvert le code source du logiciel malveillant supposé être de l'Equation Group, l'analyste a signalé l'incident au PDG. « Suite à une demande du PDG, l'archive a été supprimée de tous nos systèmes », explique l'entreprise. Avant d'ajouter que « l'archive n'a pas été partagée avec des tiers. »

En général, Kaspersky partage les informations sur les menaces de cybersécurité, telles que de nouvelles souches de logiciels espions et d'autres logiciels malveillants, avec ses grands clients et les gouvernements. Cependant, dans ce cas, Kaspersky dit ne pas l'avoir fait ; cela suggère que si des hackers russes ont pu avoir accès aux outils de piratage des États-Unis, ce ne serait pas via le logiciel antivirus du géant russe de la sécurité. « L'enquête n'a révélé aucun autre incident connexe en 2015, 2016 ou 2017. Aucune autre intrusion d’un tiers, en plus de Duqu 2.0, n'a été détectée dans les réseaux de Kaspersky Lab. L'enquête a confirmé que Kaspersky Lab n'a jamais créé d'outil de détection de fichiers non malveillants dans ses produits basés sur des mots-clés tels que "top secret" et "classifié" », ajoute Kaspersky pour se dédouaner.

Ainsi, Kaspersky semble insinuer que n'importe qui aurait pu exploiter le keygen pour se connecter à distance à la machine et voler les informations top secrètes que l'employé de la NSA a ramenées à la maison, plutôt que d'exploiter son antivirus. En emportant chez lui des logiciels espions du gouvernement américain et en installant un keygen malveillant pour activer une copie piratée de Microsoft Office sur son PC, l'agent de la NSA aurait donc exposé des cyberarmes confidentielles à des pirates.

Mise à jour le 17/11/2017 : Kaspersky indique un accès possible de plusieurs tiers au PC contenant les données classifiées

Dans un nouveau rapport, Kaspersky Lab confirme ses premiers résultats dans le cadre de l'enquête sur le possible abus de son produit par les Russes pour voler des données classifiées de la NSA. En d'autres termes, le PC de l'agent de la NSA était infecté par un logiciel malveillant qui aurait permis à des attaquants de voler les données classifiées du renseignement américain. Kaspersky explique que Mokes, le malware en question qui permet d'accéder à un ordinateur à distance, est apparu sur les forums underground russes en 2011. Et c’était bien connu. Les recherches de la firme de sécurité montrent aussi que, de septembre à novembre 2014, les serveurs de commande et de contrôle de ce malware ont été enregistrés au nom d'une entité, apparemment chinoise, appelée « Zhou Lou ».

La firme de cybersécurité a également fourni des informations supplémentaires sur l'analyse de la télémétrie liée à l'incident. Cette télémétrie décrit les activités suspectes enregistrées sur l'ordinateur en question pendant la période de l'incident, qui a eu lieu en 2014. Une analyse plus approfondie de la télémétrie a montré que Mokes n'était peut-être pas le seul logiciel malveillant ayant infecté le PC en question au moment de l'incident. Il y avait en effet d'autres outils d'activation illégaux et keygens qui avaient été détectés sur la même machine. Sur la période de deux mois, le produit a signalé 121 éléments de logiciels malveillants n'ayant rien à voir avec l'Equation. Il s'agit notamment de backdoors, exploits, chevaux de Troie et AdWare.
Sources : Résultats préliminaires, Nouveau rapport Kaspersky

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 17/11/2017 à 18:04
En résumé, l'employé de la NSA a copié des outils classifiés sur une passoire. Un ordi personnel bourré de Trojans avec Antivirus/Firewall sciemment désactivés.

Que ce soit son ordi personnel ou l'ordi familial, c'est une faute plus que lourde, doublée d'une incompétence rare. Sur un PC familial, tout le monde sait que le conjoint/enfant est susceptible de s'adonner au piratage en masse, quitte à désactiver l'antivirus pour satisfaire son besoin.

Si c'est son ordi perso, alors il est inconscient et incompétent, puisqu'apparemment l'ordi en question avait l'antivirus désactivé au moment de la copie de ces fichiers... Même si c'est limite de ramener du travail important chez soi, on fait au moins plusieurs scans, même avec Windows Defender (enfin bon, j'imagine que son Windows devait aussi être cracké).
4  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 27/10/2017 à 10:57
« Suite à une demande du PDG, l'archive a été supprimée de tous nos systèmes », explique l'entreprise
Ca pue le mensonge des média.
Kaspersky normalement ne supprime pas les fichiers incréminés, il les bloque et les met en quarantaine dans un folder sécurisé.

Kaspersky dérange car ils sont russes et font un excellent travail de détection de virus (j'ai pas dit malware).
Kaspersky free détecte ~93% des virus, le reste pouvant être détecté par malwarebytes...
Pourquoi leur produit est bien plus cher que Bitdefender et Macafee!
Simplement parce qu'ils sont meilleurs.
5  2 
Avatar de Fagus
Membre actif https://www.developpez.com
Le 02/11/2017 à 21:49
Citation Envoyé par Michael Guilloux Voir le message
l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013.
C'est du propre pour un "expert" en sécurité de rater un piratage domestique... Et puis, quand on lance un keygen, on le met dans une machine virtuelle jetable coupée du réseau, depuis un compte pas admin, au moins.

Quant à la possibilité de sortir de la NSA et de ramener sur un PC non sécurisé chez soit des outils secret-défense, ça laisse songeur.
2  0 
Avatar de VBrice
Membre habitué https://www.developpez.com
Le 17/11/2017 à 15:25
@hotcryx,@AndMax:
hotcryx: Kaspersky free détecte ~93% des virus
AndMax: Source ? Puis-je en conclure que TU connais 100% des virus.

AndMax veut probablement dire que personne ne connaît 100% des virus, ni même les AV d’ailleurs, car il existe certainement un grand nombre qui n'est pas encore découvert et qui ne le seront peut-être jamais, qui sait.
Du coup, quand hotcryx parle de 93%, c'est plutôt 93% d'un échantillon de virus connu (ou 100% est le nombre total de l'échantillon) , ou 93% des virus qui sont actuellement détecté/connu (où 100% est le nombre total de virus connu par tout AV confondus).

2  0 
Avatar de jean paul Cromwell
Futur Membre du Club https://www.developpez.com
Le 21/12/2017 à 10:00
Je pense que la nsa devrait s'inquièter car elle comprend qu'il y'a aussi un fort comme elle et devrait se dépêcher à faire plus mieux en sécurité.
Karpersky n'aurait rien à voir dans cet affaire donc ne devrait pas etre interdit aux USA.
2  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 26/10/2017 à 13:44
Citation Envoyé par AndMax Voir le message
Donc tu penses qu'il est légitime qu'un éditeur de logiciels surveille ses utilisateurs (ici avec le motif que ce sont des "hackers" ?
Non en mais en fait c'est pas ça qui c'est passé.
L'anti virus a trouver des fichiers infecté, ils ont été uploadé chez Kaspersky et voilà !

Mais dans l'absolu c'est mieux de surveiller les fichiers infecté d'un groupe de hacker, que les fichiers infecté d'un type normal.
Par exemple si Avast avait sortie un remède contre les ramsonware directement au début, parce qu'ils espionnaient les hackers, tout le monde aurait trouvé ça super cool.

C'est mieux expliqué là :
Citation Envoyé par Michael Guilloux Voir le message
Dans son communiqué, Kaspersky Lab explique que début octobre 2014, l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013. Il faut en effet noter qu'avec ce genre de logiciel, les utilisateurs doivent souvent désactiver leur antivirus afin de pouvoir les exécuter ; et c'est ce qu'aurait fait l'agent de la NSA.

« Pour installer et exécuter ce keygen, l'utilisateur semble avoir désactivé les produits Kaspersky sur sa machine », a déclaré Kaspersky Lab dans son rapport. « Notre télémétrie ne nous permet pas de dire quand l'antivirus a été désactivé, cependant, le fait que le malware keygen a été détecté plus tard comme étant en cours d'exécution dans le système suggère que l'antivirus avait été désactivé ou n'était pas en cours d'exécution. L'exécution du keygen n'aurait pas été possible avec l'antivirus activé. » Kaspersky précise aussi que le keygen téléchargé avec un fichier ISO d'Office 2013 cachait un logiciel malveillant baptisé Win32.Mokes.hvl, qui figurait sur la liste noire de la firme de sécurité depuis 2013.

Plus tard, quand Kaspersky a été réactivé sur la machine, l'utilisateur a été averti que son ordinateur était infecté, il a donc demandé à l'antivirus d'analyser le PC et supprimer toutes les menaces. L'antivirus a alors supprimé le malware Win32.Mokes.hvl, mais a également trouvé plusieurs programmes qui ressemblaient aux cyberarmes de l'Equation Group de la NSA et que Kaspersky connaissait déjà. Ces fichiers suspects ont donc été renvoyés aux serveurs de Kaspersky pour une analyse plus approfondie.

Il est important de noter que les utilisateurs peuvent configurer le logiciel de Kaspersky pour ne pas envoyer d'échantillons suspects à l'entreprise russe, mais dans ce cas, l'agent de la NSA n'aurait pas activé cette option, ainsi les fichiers ont pu être envoyés à Kaspersky.
1  0 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 26/10/2017 à 16:17
Rocambolesque, grave rocambolesque

Il y en a un qui veut rejeter sa faute sur l'autre qui ne veut pas dire qu'il en profite. MDR !
1  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 17/11/2017 à 14:03
Citation Envoyé par AndMax Voir le message
Source ? Puis-je en conclure que TU connais 100% des virus.
C'est moi qui est dit ça???
Moi non, mais Kaspersky les connait.
1  0 
Avatar de vizivir
Membre du Club https://www.developpez.com
Le 17/11/2017 à 16:47
personne ne connais 100 % des virus meme les société d'antivirus :
- les société d'antivirus mettent du temps a découvrir qu'un virus en est'un de plus ces société font "exprès " de mettre du temps à se transmettre les signatures des virus
-un virus devient un virus uniquement lorsque des expert repaire qu'l est malveillant donc tant que personne na jeté un oeil aux code ce n'est pas un virus .
un virus existant tu change 2 pauvre ligne la signature change et voila il n'est plus détecté.
1  0 
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 22/11/2017 à 11:12
Citation Envoyé par Ryu2000 Voir le message

En Russie c'est pas ça du tout.
Poutine a juste fait un travail génial pour sauver la Russie et la plupart des Russes lui sont reconnaissant.
Annexer la Crimée, génial (c'est des pratiques de guerre) ? Pirater les serveurs de campagne Macron génial ? D'après ce que je vois, le peuple Russe a la même mentalité que Poutine. Donc oui ils apprécient ce que nous on vomit. Apparemment, bien qu'ils se disent anti-corruption, ils en usent au quotidien. Le chef du parti d'opposition a passé 15 jours en détention pour avoir organisé une manif anti-corruption. D'après les dernières législatives, la moitié des électeurs se sont abstenus, bien qu'ils disaient "soutenir leur président". Parce que les sondages ne sont peut-être pas si anonymes peut-être ?

http://www.lesinrocks.com/2017/06/01...ssie-11950576/

Citation Envoyé par Ryu2000 Voir le message

Alors ça c'est des conneries...

Et les USA interfère dans les élections française :
"Je soutiens Emmanuel Macron", Barack Obama s’engage dans la présidentielle

Vu qu'Obama était ultra populaire en France, ça interfère.
Il y a une différence entre encourager oralement un candidat, et pirater des mails/documents du candidat et de son entourage, et de les publier après modifications.

Tu ne serais pas un peu Russe ryu2000 ?
2  1