Kaspersky vient de publier son enquête autour du piratage d’un PC d’un employé de la NSA. Ces conclusions font suite à des déclarations selon lesquelles son logiciel antivirus aurait été utilisé dans une attaque. Elle a permis de dérober des documents dits classifiés.
Des médias américains prétendent que le logiciel antivirus de Kaspersky fonctionnait sur l’ordinateur personnel de l’agent de la NSA. Il aurait permis à des espions russes d’accéder à la machine pour voler des documents. Ces derniers appartiendraient à une unité spéciale de la NSA, l’Equation Group.
Kaspersky, une autre version des faits
Dans son rapport, Kaspersky explique qu’une analyse interne révèle tout d’abord que les dates annoncées par les médias sont fausses. L’attaque en question n’aurait pas eu lieu en 2015 mais entre septembre et novembre 2014. En outre, selon Kaspersky, la cyberattaque a réussi à voler le code source de logiciels malveillants exploités par Equation Group. Ceci sous-entend que l’ordinateur visé faisait partie de cette unité spéciale.
En ce qui concerne les logiciels qui ont facilité cette intrusion, Kaspersky affirme que son antivirus n’est pas en cause. Mieux la firme avance une autre hypothèse pour le moins troublante. Ce piratage serait dû à l’utilisation d’un logiciel Microsoft piraté par l’agent de la NSA.
Selon son enquête, l’agent aurait téléchargé et installé une copie piratée de la suite bureautique Microsoft Office 2013 mais pas seulement. Pour pouvoir l’activer, il aurait utilisé une application « génératrice de clés ». Kaspersky Antivirus, qui était en effet installé sur le système, aurait été désactivé manuellement afin de permettre l’activation de la suite bureautique. Pourquoi ? Les générateurs illégaux de clés sont perçus comme des menaces.
Kaspersky précise
“L’outil illégal d’activation contenu dans l’ISO de la suite Microsoft Office a été infecté par des logiciels malveillants. L’utilisateur a été infecté par ce logiciel malveillant pendant une période indéterminée alors que le produit de Kaspersky Lab était inactif. Le malware a mis en place une porte dérobée permettant à d’autres tiers d’accéder à la machine”
Kaspersky, des documents de la NSA sur ses serveurs
L’entreprise dit que son antivirus a détecté le malware dès sa réactivation. Enfin toujours selon Kaspersky, certains fichiers de la NSA se sont retrouvés sur ses serveurs après que le système antivirus ait détecté une archive infectée par le malware. Conformément à sa stratégie antivirus, les fichiers infectés ont été automatiquement téléchargés pour une analyse plus approfondie. Lors de la découverte de ces documents classifiés, Kaspersky affirme avoir supprimé les données et que l’archive ” n’a pas été partagée avec des tiers“.
Les logiciels de sécurité Kaspersky sont actuellement interdits d’usage sur les ordinateurs du gouvernement américain. Les allégations américaines indiquent que l’entreprise a aidé des espions russes à lancer des attaques contre des cibles américaines.