L’ancien employé de la NSA qui a exposé des outils de hacking de son ancien employeur a été condamné à une peine de prison de cinq ans et demi.Nghia Hoang Pho, âgé de 68 ans, a été envoyé mardi dans le même tribunal du district américain de Baltimore où, l’année dernière, il a plaidé coupable à un chef d’accusation de rétention volontaire d’informations sur la défense nationale.
En 2015, Pho travaillait pour la NSA en tant que développeur au sein d’une équipe de hacker hautement secrète, la Tailored Access Operations (TAO), quand il a emporté avec lui du matériel dans l’intention de l’étudier, faire des heures de travail supplémentaire et obtenir une promotion, d’après ce qu’il a déclaré à la Cour. Celui-ci comprenait des outils de hacking qui faisaient probablement partie du code publié et vendu aux enchères par l'individu ou le groupe connu sous le nom de Shadowbrokers à l'été 2016
Rappel de l’affaire
Au début du mois d’août 2017, le Wall Street Journal a rapporté que des hackers russes auraient exploité le logiciel antivirus Kaspersky pour dérober ces informations. Quelques jours plus tard, le New York Times a assuré que les accusations du gouvernement des États-Unis contre Kaspersky reposent sur des informations fournies par des hackers du renseignement israélien. Lors d'une intrusion en 2014 dans les systèmes de Kaspersky, ces derniers auraient découvert que les Russes utilisaient Kaspersky pour surveiller des ordinateurs dans le monde entier à la recherche de documents top secret ou classifiés.
Les hackers du gouvernement israélien ont ensuite fourni à leurs homologues de la NSA « des preuves solides de la campagne du Kremlin sous forme de captures d'écran et d'autres documents », selon les sources du New York Times.
Bien entendu, Kaspersky a donné une autre explication à cela. Selon l’éditeur, l'employé a désactivé l'antivirus pour exécuter un générateur de clé d'activation (ou keygen) conçu pour activer des copies piratées de Microsoft Office 2013. Il faut en effet noter qu'avec ce genre de logiciel, les utilisateurs doivent souvent désactiver leur antivirus afin de pouvoir les exécuter ; et c'est ce qu'aurait fait l'agent de la NSA.
« Pour installer et exécuter ce keygen, l'utilisateur semble avoir désactivé les produits Kaspersky sur sa machine », a déclaré Kaspersky Lab dans son rapport. « Notre télémétrie ne nous permet pas de dire quand l'antivirus a été désactivé, cependant, le fait que le malware keygen a été détecté plus tard comme étant en cours d'exécution dans le système suggère que l'antivirus avait été désactivé ou n'était pas en cours d'exécution. L'exécution du keygen n'aurait pas été possible avec l'antivirus activé. » Kaspersky précise aussi que le keygen téléchargé avec un fichier ISO d'Office 2013 cachait un logiciel malveillant baptisé Win32.Mokes.hvl, qui figurait sur la liste noire de la firme de sécurité depuis 2013.
Plus tard, quand Kaspersky a été réactivé sur la machine, l'utilisateur a été averti que son ordinateur était infecté, il a donc demandé à l'antivirus d'analyser le PC et supprimer toutes les menaces. L'antivirus a alors supprimé le malware Win32.Mokes.hvl, mais a également trouvé plusieurs programmes qui ressemblaient aux cyberarmes de l'Equation Group de la NSA et que Kaspersky connaissait déjà. Ces fichiers suspects ont donc été renvoyés aux serveurs de Kaspersky pour une analyse plus approfondie.
Il est important de noter que les utilisateurs peuvent configurer le logiciel de Kaspersky pour ne pas envoyer d'échantillons suspects à l'entreprise russe, mais dans ce cas, l'agent de la NSA n'aurait pas activé cette option, ainsi les fichiers ont pu être envoyés à Kaspersky.
La décision du tribunal
Pho, quant à lui,a plaidé coupable en décembre dernier. Les procureurs ont demandé une peine de 96 mois de prison, la peine maximale pour l'accusation de rétention volontaire d'informations sur la défense nationale. Mais un juge du Maryland a décidé de lui infliger une peine d'emprisonnement de 66 mois, suivie de trois ans de libération surveillée.
« La rétention intentionnelle, imprudente et illégale d’informations hautement classifiées par Pho au cours de presque cinq ans a mis en péril les capacités et les méthodes de notre communauté de renseignement, rendant certaines d’entre elles inutilisables », a déclaré le procureur général adjoint Demers.
Dans une lettre adressée à la cour en mars, l’amiral Mike Rogers, ancien directeur de la NSA, a déclaré au juge George Russell que les documents retirés de la NSA par Pho avaient des répercussions négatives importantes sur la mission de la NSA, . Selon lui, « Les matériaux enlevés par Pho » incluent :
« Certaines des techniques les plus sophistiquées, difficiles à réaliser et importantes de la NSA pour collecter [des signaux de renseignement] à partir de cibles sophistiquées de la NSA, y compris une collecte cruciale pour répondre aux questions les plus prioritaires du pays. Les techniques du type de celles que Pho a été chargé de protéger, qui ont été retirées de l'espace sécurisé, sont des multiplicateurs de force, permettant la collecte de renseignements dans une multitude d'environnements à travers le monde. La compromission d'une technique peut mettre en péril de nombreuses opportunités pour la collecte de renseignements et la sécurité nationale ».
Rogers a déclaré à la cour que Pho avait essentiellement provoqué l'abandon de plusieurs années de travail de collecte de signaux, ce qui signifie qu'aucun des outils et techniques qu'il avait rapportés chez lui ne pouvait continuer à être utilisé. Comme ils ont été retirés des systèmes sécurisés de la NSA, Rogers a écrit que la NSA « n'avait pas d'autre choix que d'abandonner certaines initiatives importantes, ce qui a des coûts économiques et opérationnels élevés ».
Pho, qui a commencé à travailler en tant que développeur à TAO en avril 2006, a déclaré dans son plaidoyer qu’il avait commencé à prendre à rentrer chez lui à la fois avec des documents papier et des fichiers classés secrets et sensibles en 2010 et il a continué à le faire jusqu'en mars 2015. Pho a déclaré au juge dans une lettre que, en raison de ses difficultés avec la langue anglaise et ses compétences sociales limitées, il avait du mal à obtenir de bonnes évaluations de performance de ses dirigeants de la NSA. Alors, a-t-il expliqué, il a ramené des documents chez lui dans l'espoir d'améliorer sa performance au travail et d'obtenir une bonne évaluation, ce qui pourrait augmenter son salaire pour qu'il prenne sa retraite à un niveau de rémunération plus élevé.
Source : décision de justice
Voir aussi :
La NSA annonce la destruction de millions de données d'appels collectées depuis 2015, qu'elle n'était pas autorisée à exploiter La NSA aurait lancé un programme d'espionnage visant à pister les utilisateurs de bitcoins du monde entier, d'après des documents publiés par Snowden Trois exploits de la NSA réécrits pour affecter toutes les versions de Windows lancées à partir de l'an 2000 Programme de surveillance de la NSA : par un vote, le Sénat US rejette les protections de la vie privée demandées pour les citoyens américains USA : la Chambre des représentants vote pour renouveler le programme de surveillance d'Internet de la NSA pour six ans et sans mandat 
Envoyé par Stéphane le calme
