Sean Brian Townsend est un chercheur indépendant dans le domaine de l’information et de la cybersécurité, membre et porte-parole de l’ UCA (Ukrainian Cyber Alliance) . Il explique comment Kaspersky Lab et le FSB ont piraté et divulgué les outils secrets de la NSA sous l’apparence d’un groupe de hackers The Shadow Brokers. Ces fuites sont à l’origine des attaques des rançonneurs tels que WannaCry, NotPetya et BadRabbit .
Logiciels antivirus : des mythes et la réalité
Les activités des sociétés antivirus (SAV) sont imprégnées de mythes. Les utilisateurs ont tendance à les accuser de deux péchés capitaux: qu’ils développent eux-mêmes des virus pour leur propre enrichissement, et qu’un logiciel antivirus peut être utilisé pour la surveillance. Ces mythes sont faux mais très tenaces, et les développeurs des logiciels AV ont lutté pour dissiper ces théories de conspiration pendant des décennies. L’origine de la suspicion réside dans le fait que les utilisateurs sont obligés de faire aveuglément confiance aux logiciels AV.
Kaspersky Lab a joué juste pendant 25 ans, mais un jour, il a succombé à une tentation. Et maintenant, ce fournisseur d’antivirus ne sera pas retenu dans le futur en tant que défenseur. Sa renommée sera comme celle du constructeur irlandais dans la blague « tu n’as qu’une seule chèvre ».
Les mythes sur des hackers
Les mythes sur les pirates sont aussi répandus. Dans la culture de masse, le piratage est perçu comme une «superpuissance». Comme Arthur Clarke l’a dit une fois, « la technologie suffisamment avancée est indiscernable de la magie » . Le personnage sous le masque de Guy Fawkes, qui, en quelques coups de clavier, récupère les mots de passe cachés « sous les astérisques », transfère un million de dollars, ou redirige le trafic dans un tunnel en sens inverse, semant la panique et la destruction. Cela n’arrive jamais vraiment. Ou plutôt, ça arrive, mais pas exactement comme ça.
La plupart des hackers se spécialisent dans un domaine spécifique et atteignent leurs objectifs avec le nombre, la persistance, et la simplicité des technologies utilisées, plutôt qu’avec un voodoo informatique ésotérique. Tout est basé sur des règles économiques et statistiques simples, où il est plus facile de gagner un dollar mille fois qu’un millier de dollars d’un coup. Et le coût d’une attaque ciblée commence à plusieurs milliers de dollars. Le développement d’outils de piratage prend du temps, ce qui équivaut à de l’argent, et tout peut être dépensé pour quelque chose de plus utile que d’essayer de percer un mur avec sa tête.
Tout cela signifie qu’il existe des modèles de comportement bien connus qui distinguent les vrais pirates de ceux qui ne font que prétendre de les être. Et il y a toujours la tentation de blâmer des autres pour ses propres ses propres fautes et, donc, tout mettre sur le compte d’ une attaque de hackers («J’ai été piraté», «Un virus a corrompu ce projet de budget», «The Shadow Brokers l’a fait»). Peu de gens comprennent comment les pirates fonctionnent, donc de telles excuses semblent tout à fait plausibles. Les agences de renseignement, d’un autre côté, ont besoin d’informations très spécifiques, elles ne sont pas limitées par le temps, l’argent ou des considérations éthiques. Leur seule préoccupation est la sécurité nationale de leurs pays.
L’histoire de la fuite de la National Security Agency (NSA) dure depuis des années. En février 2015, Kaspersky Lab a publié un rapport sur l’Equation Group (un nom de code inventé par Kaspersky pour l’unité de la NSA qui aurait été mêlé au cyberespionnage). En Mars de cette année, la NSA venait de récupérer après la fuite de Snowden, alors ils ont envoyé un avertissement assez clair aux espions russes de rester à l’écart. Bloomberg a publié l’article La Société qui protège Votre Internet a des liens étroits avec les Espions Russes . Le fondateur de l’entreprise, Eugene Kaspersky, a prétendu ne pas avoir compris .
Le fait même de la coopération entre Kaspersky et les agences de renseignement russes n’est pas un secret. Les affaires de Kaspersky ont commencé après la bénédiction de son ancien professeur à l’école supérieure de KGB Reshetnikov. Et les employés de l’entreprise non seulement ne cachent pas leur coopération avec les services secrets, mais en sont fiers.
Pourquoi la NSA ne s’est pas occupée du cas Kaspersky plus tôt?
Un lecteur pourrait se demander: «Pourquoi a-t-il fallu attendre 2017 pour que la NSA interdise le logiciel de Kaspersky, s’il est un espion du KGB?» La raison en est qu’à l’époque toute l’histoire portait sur les échantillons de logiciels malveillants. Un « échantillon » dans l’argot professionnel signifie un fragment d’une suite logicielle plus grande. C’est le virus que les antivirus sont censés éradiquer. Tant de virus apparaissent aujourd’hui dans le monde qu’aucune personne ou entreprise ne peut les analyser tous. La plupart des virus sont capturés automatiquement, et le logiciel AV utilise des dizaines de milliers de règles floues. Lorsqu’un fichier semble suspect, l’AV l’envoie à son entreprise pour analyse. C’est ainsi que fonctionne la plupart des antivirus.
Les agences de renseignement de divers pays ont été à plusieurs reprises considérées comme des créateurs de logiciels malveillants, et leurs virus sont parmi ceux identifiés par les logiciels antivirus. Si cela se limitait uniquement aux échantillons, les agences de sécurité américaines auraient gardé le silence et n’auraient pas eu recours à l’envoi de signaux à Kaspersky par la presse. Mais ils ont déjà commencé à suspecter que cette fois c’était différent. Après que le DNC a été piraté en été 2016, les Russes ont été accusés du piratage. Et puis, en août, un groupe de hackers auparavant inconnu est apparu et a prétendu qu’ils avaient piraté Equation Group. Et puis ils ont commencé à publier non seulement des recherches ou des échantillons, mais des suites complètes de logiciels de piratage avec la documentation. Il n’était pas question d’argent, comme ce fut aussi le cas plus tard avec NotPetya.
Des pirates ou des services de renseignement (l’analyse comportementale non comparative)
C’était une grave erreur. S’ils avaient été de véritables hackers, ils auraient dit qu’ils avaient piraté la NSA ou le TAO (Tailored Access Operations Office), mais ils n’auraient certainement pas appelé l’organisation qu’ils ciblaient en utilisant le nom de code inventé par Kaspersky. Mais plus important encore, des vrais hackers n’auraient pas rendu publics les outils valant des millions de dollars. Et il y a une autre chose qui n’a aucun sens – vous piratez un ordinateur, mais ne parvenez pas à comprendre à qui il appartient? La NSA peut parfois se donner, en plaisantant, le nom de « No Such Agency », mais certainement pas le surnom « Equation Group » inventé par des Russes.
Soit les personnes qui se cachent derrière le nom de The Shadow Brokers ne comprenaient pas l’importance des outils publiés, soit, au contraire, ils étaient conscients que les vulnérabilités telles que Eternal Blue et Eternal Romance seraient immédiatement utilisées par les hackers malveillants, ou par ceux qui voudraient faire semblant d’être des hackers malveillants. Et cela détournerait l’attention des gens des scandales liés à Trump, des pirates russes et des opérations d’espionnage. Et c’est exactement ce qui s’est passé avec les rançongiciels WannaCry, NotPetya et BadRabbit utilisant les outils NSA divulgués par The Shadow Brokers .
Cependant, le « scandale des hackers » ne se calmait pas. The Shadow Brokers a continué de divulguer des outils de la NSA. Et l’agence a finalement eu marre. Au printemps 2017, l’interdiction de l’utilisation de l’antivirus de Kaspersky par les agences fédérales américaines a été proposée pour la première fois et, après sa déclaration, des grands détaillants américains ont également arrêté les ventes du logiciel AV russe. Pourquoi si tard? Russes et Américains ne sont pas les seuls participants à la cyberguerre. Cette même année 2015, les agences de renseignement israéliennes (nom de code Duqu) ont rejoint la mêlée.
Les Israéliens ont piraté Kaspersky Lab et plusieurs autres grandes entreprises technologiques. Le piratage a été détecté en juin 2015 ( Kaspersky Lab enquête sur l’attaque des hackers sur son propre réseau ). Et Israël avait des raisons d’intervenir. Ce n’était pas la première fois que Kaspersky mettait des bâtons dans les roues dans des opérations de renseignement (Stuxnet). Ainsi, il a attiré l’attention des joueurs de la partie plus forts que lui. Le nœud coulant s’est encore plus durci sur Kaspersky.
Qu’est ce qui est arrivé? Ma version
Apparemment, le marché des logiciels AV est devenu trop petit pour Kaspersky. L’ajout d’un énième cheval de Troie bancaire à la base de données des virus est devenu trop fastidieux. Alors Kaspersky Lab a commencé à jouer à des jeux d’espionnage. À partir du catalogue ANT NSA (Snowden, décembre 2013 (!)), Ils ont appris les noms de code des logiciels secrets de la NSA, tels que COTTONMOUTH. Faites tout simplement une recherche de ce mot-clé parmi les fichiers suspects accumulés (Kaspersky en a des dizaines, voire des centaines de millions). Ou vous pouvez ajouter une procédure spéciale à la base de données de l’AV.
En plus des modèles de recherche, les bases de données des AV modernes contiennent également des codes. Et quand Kaspersky suggère aux Américains de vérifier le code de leur AV pour vérifier la présence de portes dérobées, il se montre juste sournois. Il y a des milliers de sous-programmes dans la base de données d’un AV, il n’y a aucun moyen de les vérifier tous, et ils peuvent facilement changer après la prochaine mise à jour. Le code pourrait également faire quelque chose comme ceci: tout fichier contenant un mot de 11 lettres dont la somme fait 164 (A = 1, B = 2, …) devrait être envoyé au « QG » pour une analyse supplémentaire. Ainsi, tout fichier contenant la chaîne « COTTONMOUTH » serait envoyé à KSN (Kaspersky Security Network – stockage de fichiers suspects). Il pourrait y avoir un algorithme un peu plus complexe qu’une simple addition, et aucune analyse de code ne trouvera de preuve que Kaspersky cherchait un outil de piratage américain secret, et pas un virus préhistorique de l’époque de .MS-DOS.
Quand les Américains ont réalisé que Kaspersky étudiait intentionnellement leurs virus, ils ont envoyé l’avertissement via Bloomberg . Personne n’aurait pris la peine de s’alarmer concernant une seule infraction aléatoire, pour éviter de compromettre davantage le secret. Mais les Israéliens qui ont piraté le Lab ont apparemment trouvé de la documentation et des morceaux de code auxiliaire non malveillant au lieu de seulement des échantillons de virus. Cela signifiait que Kaspersky avait identifié non seulement les virus, mais aussi les ordinateurs sur lesquels ils avaient été développés et testés. Pourquoi et comment Kaspersky Antivirus s’est retrouvé sur ces ordinateurs est un autre sujet. Eugene Kaspersky n’a pas pu résister à la tentation et a violé le premier commandement des sociétés-développeurs des antvivirus: ne pas utiliser leur propre produit pour le piratage. Il a nettoyé de tout ce qui était stocké ces ordinateurs. Et puis il a probablement procédé au chantage: « Soit vous arrêtez de blâmer les hackers russes, soit The Shadow Brokers vont divulguer comment vous piratez les autres ».Il se peut qu’au début Kaspersky a transmis des informations à FSB, et comme ils n’ont pas su se servir du logiciel volé ils l’ont utilisé pour exercer de la pression politique.
J’accuse! Je suis absolument certain que Kaspersky Lab et The Shadow Brokers « groupe de hackers » ne font qu’un . Peu importe maintenant que le FSB soit derrière les activités de Kaspersky ou qu’il ait tout fait lui-même. Je veux évoquer ici une histoire qui s’est passée en parallèle: c’est CyberBerkut et le piratage de la Commission électorale centrale de l’Ukraine en mai 2014. CyberBerkut est un groupe à faible technologie, principalement utilisé pour les fuites. Mais après le piratage de la Commission électorale, ils ont dit qu’ils avaient utilisé un exploit de jour zéro de Cisco. Ils auraient pu dire n’importe quoi, ils auraient pu garder le silence, mais ils ont choisi d’écrire exactement cela. Personne ne les croyait alors. Mais des exploits du jour zéro pour Cisco appartenaient à la NSA, et ils ont été publiés par The Shadow Brokers dans la première partie des données sur le «Equation Group».
Certaines des conclusions sont spéculatives pour l’instant, mais le tableau principal ressemble exactement à ce que j’attendais . Maintenant, nous avons toutes les parties du puzzle: l’administration présidentielle russe, qui définit l’agenda politique général, les différents hackers malveillants utilisés au cas par cas, qui peuvent être à la fois de véritables hackers et juste une histoire de couverture, et le Service fédéral de sécurité russe, qui coopère étroitement avec les développeurs des logiciels et les sociétés de sécurité de l’information.
Et là, Eugene Kaspersky, une personne apparemment intelligente, a fait une erreur pratiquement fatale : il a dans une interview à l’Associated Press confirmé le fait qu’il avait non seulement des échantillons de virus (il aurait pu les obtenir dans suite au cours normal des affaires), mais aussi des logiciels supplémentaires et des documents classés secrets qui ne pouvaient être obtenus que par un piratage informatique. Kaspersky a affirmé que les fichiers étaient entre les mains des spécialistes de l’entreprise lors de la collecte d’informations sur les pirates d’ Equation Group, qui ont soi-disant coopéré avec la NSA. Selon l’homme d’affaires, après avoir appris cette découverte inattendue, il a ordonné de supprimer immédiatement ces données.(Kaspersky Lab a téléchargé des documents secrets de la NSA non intentionnellement).
Peu importe qu’ils aient été supprimés ou non (ils ne l’étaient pas). Ce qui compte, c’est que Kaspersky a publiquement admis qu’il a utilisé l’antivirus pour le piratage et l’espionnage. Et ensuite provoqué (ou bien, organisé ) une attaque de virus . Il a ouvert la boîte de Pandore, pour constater qu’il n’y a aucun espoir caché là-dedans!
Une fois qu’un accord est rompu (tout comme avec le mémorandum de Budapest), le système de sécurité collective fondé sur la confiance ne fonctionne plus. Ce à quoi nous assistons maintenant n’est pas un duel d’espionnage habituel, c’est la cyber guerre mondiale. Comme dans le cas de la guerre russo-ukrainienne, les Russes n’ont même pas réalisé qu’ils avaient franchi une ligne invisible mais très importante. Et ils peuvent maintenant s’agiter et être surpris par la sévérité du contrecoup, mais cela n’a plus d’importance parce que le monde entier a changé de manière irréversible à cause de leurs actions insensées.
La rédaction d’InformNapalm peut ne pas partager les opinions des auteurs publiés dans la rubrique [opinion] , et ne modifie pas le style original des articles.