La NSA pirate les concepteurs d’antivirus

Une publication sur ‘The Intercept’ explique que la NSA aurait piraté les serveurs de plusieurs éditeurs d’antivirus.

Edward Snowden, ancien analyste à la NSA, a divulgué de nouveaux documents exposant d’autres méthodes d’espionnage du GCHQ et de la NSA, les agences de renseignement de la Grande-Bretagne et des États-Unis. À part l’instauration de systèmes de surveillance auprès des services Web et des opérateurs téléphoniques, ces dernières auraient aussi ciblé les entreprises spécialisées dans la conception d’antivirus.

D’après le rapport, elles auraient entamé un ‘reverse-engineering’ dans le but de cerner le comportement des antivirus pour pouvoir franchir leurs barrières. Une telle démarche leur aurait permis d’observer le trafic entrant/sortant entre l’ordinateur de l’utilisateur et les serveurs de l’éditeur. Cela aurait aussi permis d’accéder à des métadonnées d’emails internes ainsi qu’à une liste de malwares dans la base de données de l’éditeur.

Selon le magazine, la principale cible de ces agences gouvernementales était l’éditeur russe Kaspersky, un des meilleurs antivirus 2016. Leur objectif est très précis : Les antivirus étant exécutés par l’administrateur depuis l’ordinateur des utilisateurs, ils constituent alors une passerelle adaptée aux hackers. L’agence de renseignement britannique perçoit la solution de sécurité telle une barrière au développement du projet ‘Computer Network Exploitation’.

Par la suite, le GCHQ et la NSA auraient détecté la transmission de données privées dans l’entête ‘HTTP’ auprès des serveurs de Kaspersky. Ces informations serviraient à cibler les utilisateurs. À noter que l’entête disposait du numéro de série de Kaspersky avec un identifiant unique pour chaque ordinateur. Grâce à ces données, la NSA pouvait mieux cibler les attaques en fonction de l’existence ou non d’un logiciel antivirus.

Les travaux d’analyse concernant Kaspersky auraient également servi à GCHQ à identifier et exploiter plusieurs vulnérabilités. Il faut souligner qu’en mars dernier, l’éditeur russe a affirmé s’être fait pirater après l’identification d’un ver au sein de ses serveurs internes. D’après les rapports concernant cette attaque, dénommée Duqu2.0, le ver aurait été conçu en Israël.

Par ailleurs, le GCHQ et la NSA ont piraté plus d’une vingtaine de sociétés spécialisées en conception d’antivirus comme AVG, Avast, F-Secure, Nod32, FSB Antivirus, BitDefender ou encore Avira.

Comments are closed.