Pour gérer vos consentements :

Cyber-espionnage : nos antivirus surveillés par la NSA

Les éditeurs de logiciels antivirus n’ont pas échappé à la surveillance de masse pratiquée par le renseignement américain.

Ils ont même constitué des cibles de choix pendant de longues années, à en croire une nouvelle série de documents exfiltrés par Edward Snowden et dont The Intercept s’est fait l’écho.

L’Agence américaine de sécurité nationale (NSA) et son homologue britannique (le GCHQ) ont inscrit plus d’une vingtaine de firmes à leur tableau de chasse. En tête de liste, Kaspersky Lab, qui revendique aujourd’hui plus de 400 millions de postes protégés et 270 000 entreprises clientes.

F-Secure en Finlande, AVG et Avast en République tchèque, Avira en Allemagne, ESET en Slovaquie, Checkpoint en Israël, BitDefender en Roumanie, FSB Antivirus en France… la liste est longue, mais ni McAfee, ni Symantec, les deux principaux éditeurs américains, n’y figurent. Pas plus d’ailleurs que le Britannique Sophos.

En association avec les agences canadienne, australienne, néo-zélandaise et britannique (membres de la fameuse alliance des « Five Eyes »), la NSA a espionné, dans le cadre du projet Camberdada, les e-mails que s’échangeaient les experts collaborant – de près ou de loin – avec l’une des 23 entreprises ciblées.

La démarche aurait permis de collecter, rien qu’entre 2009 et 2010, plus d’un demi-millier de fichiers malveillants souvent attachés en pièce jointe. Un complément idéal à l’opération Agent String lancée en amont, et dont on trouve trace dans un rapport de 2008.

Cette initiative a consisté à intercepter les données envoyées régulièrement vers les serveurs de Kaspersky par l’ensemble des machines protégées et connectées à Internet. Des éléments parfois envoyés en clair dans les en-têtes des requêtes HTTP… et souvent déchiffrables le reste du temps.

Kaspersky est régulièrement cité dans les rapports de la NSA et du GCHQ.

Dans le rétroviseur

Version de l’antivirus, numéro de série, configuration système : assez pour identifier précisément une machine et déterminer si elle est vulnérable à des attaques que l’antivirus ne pourra pas détecter.

La NSA et consorts ont surtout pratiqué la rétro-ingénierie sur plusieurs solutions de protection destinées au grand public. Cette pratique, qui vise à comprendre le fonctionnement d’un logiciel en convertissant le code en un format lisible par l’humain, aura permis de suivre des utilisateurs à la trace, tout en s’infiltrant dans des réseaux stratégiques, y compris ceux des éditeurs, pour obtenir des renseignements sur les menaces à l’étude.

Des méthodes illustrées dans plusieurs documents communiqués par Edward Snowden, dont cette demande de renouvellement de mandat formulée en juin 2008 par le GCHQ pour obtenir le droit de modifier des logiciels commerciaux, en vertu de l’Intelligence Services Act de 1994.

L’agence a flirté à plusieurs reprises avec la ligne jaune. Elle a notamment pratiqué le retroengineering sur les solutions de chiffrement Acer eDataSecurity et CrypticDisk. On citera aussi le dispositif de gestion des terminaux mobiles Microsoft Mobile Data Manager, ainsi que les outils d’authentification FileMon et Regmon.

Dans certains cas, les cibles étaient bien particulières : le gestionnaire de forums de discussion vBulletin pour surveiller les terroristes, le firmware de routeurs Cisco pour garder un œil sur le Pakistan, etc.

La rétro-ingénierie au nom de la sécurité nationale.

Crédit photo : padu_foto – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago