La question en tout cas est posée. Car plusieurs organes de presse américains, Wall Street Journal et Washington Post, ont clairement laissé entendre que le logiciel antivirus Kaspersky, installé sur la machine d’un employé de la NSA aurait servi de point d’entrée, de cheval de Troie, pour récupérer des données confidentielles de l’agence de renseignements américaine.

Evidemment ça fait désordre. D’autant que ce n’est pas la première fois. Déjà en 2016, un sous-traitant de la NSA, Harold Martin, avait été accusé d’avoir dérobé 50 TB de données confidentielles, son procès devant se tenir prochainement, pour lequel il plaide d’ailleurs non coupable.

Cette fois, c’est plus gênant, dans la mesure où c’est le logiciel antivirus de Kaspersky qui est mis en cause. Et à travers lui, les services de renseignements russes, qui auraient récupéré des informations classifiées concernant la cyberdéfense des Etats-Unis.

Pour parvenir à leurs fins, les russes auraient pénétré la machine d’un employé de la NSA, appartenant à la division « Tailored Access Operations », qui aurait malencontreusement stocké dans sa machine, des documents et outils très confidentiels, pour pouvoir travailler tranquillement chez lui à tête reposée. Décision louable sans doute, au plan humain, mais une catastrophe sécuritaire, car il ne disposant plus des mêmes conditions de protections qu’à l’agence, il devenait vulnérable et avec lui toute son organisation.

Ce qui d’une certaine manière illustre la fable de l’ « arroseur arrosé », car les documents semble-t-il volés, concernent les outils utilisés par la NSA elle-même, pour pénétrer les infrastructures des organisations qu’elle surveille, avec le détail des opérations en cours. Le gouvernement russe ayant ainsi la possibilité de cibler sa défense et prendre les bonnes mesures pour les contrecarrer.

Comme la NSA est restée muette sur ce sujet depuis la découverte de l’attaque en 2016 et refuse toujours de commenter les informations de la presse, le Wall Street Journal avance trois explications possibles :

  • les russes ont exploité une faille dans l’antivirus Kaspersky, ce qu’Eugène Kaspersky lui-même estime possible, car ce type de logiciel est par définition très complexe et il n’est pas rare que des failles soient détectées, celle trouvée par le chercheur de Google Tavis Ormandy, par exemple, toujours en 2016, qui pouvait être exploitée à distance.
  • Mais dans ce cas, Kaspersky ne peut pas être accusé de collusion, seule la qualité de son produit pouvant donner lieu à discussion.
  • le logiciel antivirus Kaspersky a pu détecter dans ses analyses, la présence sur la machine de l’un des outils utilisés par la NSA pour ses tentatives d’introspection. Et il aurait alors réagi tout à fait normalement, en se fondant sur une base de signatures dans laquelle apparaissent justement ces fameux outils. Et Eugène Kaspersky n’aura pas de mal à démontrer le 25 octobre, quand il sera entendu par la « Commission Sciences, Espaces et Technologies » du Congrès, que son logiciel ne peut pas décider qu’un outil de hacking est dangereux s’il est entre les mains de criminels, mais tout à fait normal voire recommandable, quand il est entre celles de la NSA…
  • Toute la question est de savoir comment les services de renseignement russes ont pu récupérer ces données.
  • Tout ce que l’on sait, c’est qu’elles ont été récoltées par l’antivirus Kaspersky et envoyées sur des serveurs implantés et opérés par Kaspersky en Russie (comme toutes les autres) et que de ce fait, elles tombent sous le contrôle de la loi russe, qui peut obliger, comme aux Etats-Unis le prestataire à collaborer avec le gouvernement pour lui fournir les données ainsi récupérées.
  • la troisième possibilité serait que Kaspersky aurait détecté la présence des outils NSA et les aurait sciemment vendus aux autorités russes. Sous-entendu, quand on s’appelle Kaspersky, c’est tout à fait envisageable…

Une possibilité qui nous semble, comme aux autres observateurs, parfaitement ridicule, dans la mesure où Kaspersky a beaucoup trop à perdre pour se livrer à ce genre de fantaisie. Même pour faire plaisir à Vladimir Poutine.

C’est sans doute beaucoup plus simple

En réalité, les choses ont été probablement beaucoup plus simples. Et nous suggérons notre propre scénario.

  • Il y a un employé de la NSA qui fait n’importe quoi et contredit les règles de sécurité les plus élémentaires de son organisation, en emmenant chez lui une machine insuffisamment protégée.
  • Il y a ensuite un antivirus Kaspersky qui fait très bien son travail et détecte ce pourquoi il a été conçu. Personne ne pourra le lui reprocher. Sauf que là ce n’est pas « I love you » de l’ineffable Guzman…
  • Il y a encore des services de renseignement russes qui font exactement ce que fait la NSA, à savoir lancer des sondes sur toutes les machines et serveurs de la planète, pour détecter des failles et des conditions ponctuelles de vulnérabilités. Failles qu’ils exploitent éventuellement pour leur propre compte.
  • Il y a toujours ces services de renseignement, qui ont accès aux données « uploadées » sur les serveurs de Kaspersky et ont ainsi pu comprendre comment la NSA s’y prenait pour faire ce qu’on lui reproche aujourd’hui. Seule la méthode pose encore question.
  • Il y a évidemment la NSA qui joue les Dr Jekyll and Mr Hyde, mais n’a pas pris les précautions les plus élémentaires pour éviter la situation dans laquelle son employé l’a mise
  • Il y a enfin le monde Internet qui ne comprend toujours pas que la toile est parsemée de trous et que l’on a beau s’appeler la NSA et être dirigée par l’ancien commandant de la dixième flotte des Etats-Unis, Michael S. Rogers, réputé compétent, elle ne pourra rien faire tant qu’Internet sera servi par des protocoles aussi stupides que ceux qui ont cours aujourd’hui, TCP, IP, DNS…

A suivre…