Les chercheurs de Kaspersky, à l’occasion de la mise en évidence du groupe « Equation » ont désigné, sans la nommer, la NSA (l’agence nationale de sécurité des USA) et ses partenaires.
Au-delà d’une communication promotionnelle (lire : Découverte d’un logiciel espion dans le firmware des disques durs) autour de son savoir-faire en terme de détection de malwares, l’éditeur russe, très proche du gouvernement russe actuel, a mis la presse occidentale sur la piste de la NSA, une situation qui est prise au sérieux par les firmes impliquées et par le gouvernement Obama qui s’inquiétait de la trop grande autonomie de son agence de renseignements.
Selon l’agence Reuters qui a pu enquêter aux USA, le groupe Equation, identifié par Kaspersky, a été très actif en Iran, en Russie, au Pakistan, en Afghanistan, en Chine, au Mali, en Syrie, au Yémen et en Algérie. Ce sont les gouvernements et institutions militaires, les entreprises de télécommunications, d’énergie, les banques, les chercheurs dans le nucléaire et les activistes islamiques en priorité qui étaient visés. Les serveurs et centres de commande déployés par Equation ont été fermés courant 2013, ce qui conforterait l’idée que c’est bien la NSA qui à la suite de l’affaire Snowden, aurait effacé la plupart des traces des activités d’Equation.
L’éditeur russe, spécialiste des antivirus, a montré que certains des logiciels espions avaient été conçus pour se cacher dans le firmware, le logiciel essentiel qui est livré préinstallé sur le disque dur d’un ordinateur. Un utilitaire identifié sous le nom de « nls_933w.dll » permet aux pirates de reprogrammer le microcode du disque. Une fois installé là, il serait très difficile de le détecter et pratiquement impossible à enlever. Ce logiciel aurait pu avoir accès aux codes essentiels, tels que les clés de déchiffrement des fichiers codés. Vitaly Kamluk, un chercheur de Kaspersky, précisait que pour compromettre le firmware d’un disque, il faut avoir une très bonne connaissance du code source du fabricant – a priori, un secret très bien gardé que la NSA aurait peut-être obtenu de la part de certains fabricants. Les firmes mises en cause sont Western Digital Corp., Seagate Technology Plc, Toshiba Corp., IBM, Micron Technology et Samsung Electronics Co Ltd.
Plusieurs fabricants de disques en question
Le rapport de l’éditeur russe cite précisément les codes de plusieurs fabricants de lecteurs de disque dont les produits auraient été compromis, Seagate Technology, Western Digital, Toshiba et IBM sont en première ligne et certains n’ont pas encore répondu immédiatement aux demandes de commentaires de nos confrères américains. Néanmoins trois entreprises ont déjà déclaré que ce rapport était une totale nouveauté pour eux.
« Nous prenons ces menaces très au sérieux », a déclaré le porte-parole de Western Digital, Steve Shattuck mardi, ajoutant dans un communiqué que la société est « dans un processus d’analyse du rapport de Kaspersky Labs. »
Seagate Technology a dit qu’il « n’avait aucune connaissance spécifique de toutes les allégations concernant un accès de tiers à nos lecteurs. Notre société a annoncé dans un tout récent communiqué qu’elle est attachée à la sécurité et qu’elle prend des mesures drastiques pour éviter toute manipulation ou «reverse engineering» de ses produits.
Enfin Toshiba a dit qu’il n’avait aucune connaissance de ce type de logiciels malveillants et s’est refusé à tout autre commentaire. Pas de nouvelles d’IBM non plus.
Bien que certains des logiciels malveillants soient généralement transmis sur Internet, Kaspersky précisait qu’un ver transmis par des clés USB infectées, permettait néanmoins de recueillir des informations à partir d’ordinateurs qui sont déconnectés d’Internet. L’air Gaping qui est une pratique de sécurité utilisée dans les centrales nucléaires et d’autres installations sensibles n’est pas totalement fiable.
Au moment où une interview, par le site Re/code.net, du président Obama remet en cause les politiques d’indépendance européennes, cette affaire relance les problème de neutralité du Net, de l’ingérence du gouvernement américains .
Egalement sur InformatiqueNews :
Red Hat OpenStack plate-forme version 6 : les serveurs absorbent les réseaux