Cyber-espionnage : nos antivirus surveillés par la NSA

RégulationsRisquesSécuritéSurveillance
nsa-antivirus
11 37

Plusieurs documents exfiltrés par Edward Snowden font la lumière sur l’espionnage pratiqué par la NSA à l’encontre des éditeurs de solutions antivirus.

Les éditeurs de logiciels antivirus n’ont pas échappé à la surveillance de masse pratiquée par le renseignement américain.

Ils ont même constitué des cibles de choix pendant de longues années, à en croire une nouvelle série de documents exfiltrés par Edward Snowden et dont The Intercept s’est fait l’écho.

L’Agence américaine de sécurité nationale (NSA) et son homologue britannique (le GCHQ) ont inscrit plus d’une vingtaine de firmes à leur tableau de chasse. En tête de liste, Kaspersky Lab, qui revendique aujourd’hui plus de 400 millions de postes protégés et 270 000 entreprises clientes.

F-Secure en Finlande, AVG et Avast en République tchèque, Avira en Allemagne, ESET en Slovaquie, Checkpoint en Israël, BitDefender en Roumanie, FSB Antivirus en France… la liste est longue, mais ni McAfee, ni Symantec, les deux principaux éditeurs américains, n’y figurent. Pas plus d’ailleurs que le Britannique Sophos.

En association avec les agences canadienne, australienne, néo-zélandaise et britannique (membres de la fameuse alliance des « Five Eyes »), la NSA a espionné, dans le cadre du projet Camberdada, les e-mails que s’échangeaient les experts collaborant – de près ou de loin – avec l’une des 23 entreprises ciblées.

La démarche aurait permis de collecter, rien qu’entre 2009 et 2010, plus d’un demi-millier de fichiers malveillants souvent attachés en pièce jointe. Un complément idéal à l’opération Agent String lancée en amont, et dont on trouve trace dans un rapport de 2008.

Cette initiative a consisté à intercepter les données envoyées régulièrement vers les serveurs de Kaspersky par l’ensemble des machines protégées et connectées à Internet. Des éléments parfois envoyés en clair dans les en-têtes des requêtes HTTP… et souvent déchiffrables le reste du temps.

kaspersky-gchq
Kaspersky est régulièrement cité dans les rapports de la NSA et du GCHQ.

Dans le rétroviseur

Version de l’antivirus, numéro de série, configuration système : assez pour identifier précisément une machine et déterminer si elle est vulnérable à des attaques que l’antivirus ne pourra pas détecter.

La NSA et consorts ont surtout pratiqué la rétro-ingénierie sur plusieurs solutions de protection destinées au grand public. Cette pratique, qui vise à comprendre le fonctionnement d’un logiciel en convertissant le code en un format lisible par l’humain, aura permis de suivre des utilisateurs à la trace, tout en s’infiltrant dans des réseaux stratégiques, y compris ceux des éditeurs, pour obtenir des renseignements sur les menaces à l’étude.

Des méthodes illustrées dans plusieurs documents communiqués par Edward Snowden, dont cette demande de renouvellement de mandat formulée en juin 2008 par le GCHQ pour obtenir le droit de modifier des logiciels commerciaux, en vertu de l’Intelligence Services Act de 1994.

L’agence a flirté à plusieurs reprises avec la ligne jaune. Elle a notamment pratiqué le retroengineering sur les solutions de chiffrement Acer eDataSecurity et CrypticDisk. On citera aussi le dispositif de gestion des terminaux mobiles Microsoft Mobile Data Manager, ainsi que les outils d’authentification FileMon et Regmon.

Dans certains cas, les cibles étaient bien particulières : le gestionnaire de forums de discussion vBulletin pour surveiller les terroristes, le firmware de routeurs Cisco pour garder un œil sur le Pakistan, etc.

gchq-reverse-engineering
La rétro-ingénierie au nom de la sécurité nationale.

 

Crédit photo : padu_foto – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur