Après Edward Snowden, Harold Martin et le mystérieux groupe Shadow Brokers, l'agence américaine de renseignement NSA a encore laissé fuiter ses outils de cyberespionnage. Selon une information d'abord rapportée par le Wall Street Journal, l'incident de sécurité a eu lieu en 2015 et n'a été découvert qu'au printemps 2016.
La puissante NSA - qui garde le silence sur cette nouvelle affaire - s'est fait subtiliser des informations sur sa capacité à s'introduire dans les réseaux informatiques de puissances étrangères, du code utilisé pour du cyberespionnage et les moyens de défense de réseaux aux États-Unis contre des cyberattaques.
Tout ceci aurait été récupéré par des pirates... russes, avec la suspicion devenue habituelle de l'implication du Kremlin. Toutefois, il y a quelque chose d'inédit dans cette affaire, et qui éclaire sur le récent bannissement des solutions de l'éditeur russe Kaspersky Lab des agences fédérales américaines.
Les pirates russes auraient récupéré les outils de cyberespionnage de la NSA sur l'ordinateur personnel d'un employé bien imprudent au niveau des procédures qu'il n'aurait pas respectées. Ayant travaillé pour l'équipe de hackers d'élite de l'agence (Tailored Access Operations) au développement de nouveaux outils après l'affaire Snowden, il n'aurait pas eu lui-même d'intentions malveillantes.
Ce sous-traitant aurait ramené les données sensibles chez lui et transférées sur son ordinateur, afin de poursuivre son travail hors des locaux de la NSA. Avec de telles données confidentielles, son ordinateur personnel équipé de l'antivirus Kaspersky s'est ensuite retrouvé être la cible des pirates russes.
C'est via cette présence de l'antivirus Kaspersky que le hacker de la NSA aurait été identifié comme une cible d'intérêt majeur. La suspicion se porte sur un fonctionnement normal de l'antivirus qui peut renvoyer des données techniques suspectes afin d'opérer une analyse plus approfondie par Kaspersky Lab. Il y aurait alors eu une correspondance avec des outils de cyberespionnage dont l'éditeur a révélé l'existence à plusieurs reprises par le passé.
C'est après que les choses sont plus floues. Si la machine de l'employé de la NSA a été infectée par les pirates russes (pour récupérer les données sensibles) sur la base de l'alerte de Kaspersky, des employés de l'éditeur russe ont-ils prévenu le gouvernement russe ? L'antivirus pourrait avoir été lui-même exploité à son insu, et sans aucune forme de collaboration de la part de Kaspersky Lab.
Avant même la publication de l'article du Wall Street Journal, Eugene Kaspersky, le patron et cofondateur de Kaspersky Lab, avait dénoncé une " nouvelle théorie complotiste à venir sur la base de sources anonymes dans les médias ". Et d'ajouter : " Nous ne nous excusons pas d'être agressifs dans la lutte contre les cybermenaces. "
New conspiracy theory, anon sources media story coming. Note we make no apologies for being aggressive in the battle against cyberthreats
— Eugene Kaspersky (@e_kaspersky) 5 octobre 2017
Dans un communiqué, Kaspersky Lab déclare qu'il n'y a " aucune preuve étayant l'implication de la société dans le supposé incident de sécurité rapporté par le Wall Street Journal. " Sur son blog, Eugene Kaspersky reconnaît néanmoins qu'aucune solution n'est sûre à 100 %. Des failles exploitables sont régulièrement découvertes, même dans des antivirus.