Piratage de la NSA: Kaspersky accuse un logiciel Microsoft infecté

Des pirates informatiques ont volé des documents secrets des services du renseignement américain grâce à un logiciel Microsoft Office infecté et non en utilisant l'antivirus Kaspersky, a affirmé jeudi la société russe de sécurité Kaspersky Lab.

Une enquête interne a également mis au jour un lien vers la Chine dans ce piratage informatique, a ajouté dans un communiqué la société basée à Moscou.

Le célèbre antivirus est soupçonné d'avoir été utilisé comme un cheval de Troie par des pirates russes pour mettre la main sur des documents classifiés qu'un employé d'une société sous-traitante de l'Agence américaine de surveillance NSA avait déposé sur son ordinateur personnel.

Selon le Wall Street Journal, qui avait révélé l'affaire début octobre, le salarié avait stocké des documents et des programmes portant la signature informatique du groupe Equation, une unité spécialisée de la NSA contre la cybercriminalité, et qui utilisait l'antivirus Kaspersky. Les documents expliquaient comment la NSA elle-même pirate les ordinateurs étrangers et se protège des cyber-attaques.

Soupçonnant la société russe de travailler main dans la main avec le Kremlin, la Sécurité intérieure américaine a ordonné aux fonctionnaires fédéraux de désinstaller tous les antivirus de Kaspersky Lab, qui équipent 400 millions d'ordinateurs dans le monde et qui comporteraient des «portes dérobées» (backdoors) utilisées par les pirates.

La société russe, qui réalise 85% de ses ventes à l'export, a affirmé qu'il n'y avait aucune preuve d'une éventuelle collusion avec les services de renseignement russes, disant se retrouver «au centre d'un conflit géopolitique» entre Washington et Moscou.

Selon Kasperky Lab, ce n'est pas son antivirus qui a infecté l'ordinateur mais d'autres programmes, notamment un «outil d'entrée dérobée» d'origine russe caché dans un logiciel Microsoft Office. Ce cheval de Troie, contrôlé par un serveur basé en Chine, aurait été détecté par l'antivirus Kasperksy mais il semble que celui-ci avait été désactivé.

«L'utilisateur a installé un outil d'activation illégal d'un MS Office 2013 qui présentait une porte dérobée (...) Pour exécuter ce programme malveillant, l'utilisateur a dû désactiver la protection antivirale, car il n'aurait pas été possible d'utiliser ce programme avec l'antivirus», affirme la société.

Le vol aurait eu lieu entre septembre et novembre 2014 plutôt qu'en 2015 comme l'affirme le WSJ et le matériel volé comprend des codes-sources de virus développés par le groupe Equation et des documents classifiés. L'ordinateur appartiendrait ainsi à un membre d'Equation impliqué dans le développement de virus informatiques.

«Étant donné le probable haut niveau de sécurité du (groupe Equation), l'utilisateur pourrait avoir été une cible privilégiée pour les États» qui tenteraient d'infiltrer la NSA, estime Kasperky Lab.