Un nouveau document récupéré par le magazine The Intercept, révèle que la NSA a hacké les serveurs des sociétés spécialisées dans le développement d'antivirus

L'ancien analyste à la NSA Edward Snowden a publié de nouveaux documents sur les pratiques mises en œuvre par la NSA et le GCHQ, les agences de renseignement aux États-Unis et au Royaume-Uni. Outre la mise en place de dispositifs de surveillance massive visant à mettre sur écoute les opérateurs téléphoniques et les services Web, les agences gouvernementales ont également ciblé les éditeurs antivirus.

Selon le rapport, les experts auraient procédé à du reverse-engineering afin de comprendre les comportements des logiciels antivirus et passer outre leurs barrières. Cela leur aurait notamment permis d'analyser le trafic entrant et sortant entre les serveurs de l'éditeur et le PC de l'utilisateur, mais également d'accéder aux métadonnées des emails internes ou encore à la liste des malwares repérés par l'éditeur.

D'après le magazine The Intercept, la principale cible aurait été la société russe Kaspersky. L'objectif est clair : puisque les logiciels antivirus sont exécutés au niveau administrateur sur la machine des utilisateurs, ils forment donc une passerelle privilégiée pour un hackeur. Le GCHQ décrit la solution de sécurité comme un obstacle dans le déploiement du projet Computer Network Exploitation.




La NSA et le GCHQ auraient ensuite identifié la transmission d'informations « personnelles » au sein de l'en-tête HTTP vers les serveurs de Kaspersky. Ces données permettraient de traquer les utilisateurs. Plus précisément l'en-tête contenait le numéro de série de Kaspersky ainsi qu'un identifiant unique par ordinateur. Cette donnée aurait alors permis à la NSA de cibler davantage les attaques selon la présence ou non du logiciel anti-virus. Cette information a été rendue publique sur Twitter.

Ces travaux d'analyse portés sur Kaspersky Antivirus aurait aussi permis à la GCHQ de découvrir puis d'exploiter certaines vulnérabilités. Rappelons qu'au mois de mars, Kaspersky avouait avoir été hacké après avoir repéré un ver sur ses serveurs internes. Selon de récents rapports cette attaque, baptisée Duqu2.0, trouverait ses origines en Israël.

Mais plus globalement, les agences de renseignement ont passé au crible les logiciels de plus d'une vingtaine d'éditeurs, parmi lesquels nous retrouvons AVG, F-Secure, Avast, Avira, Nod32, Bit Defender ou, en France, FSB Antivirus.