Opération déminage pour Kaspersky. Officiellement banni depuis septembre de l'ensemble des systèmes et terminaux informatiques de toutes les agences fédérales et administrations américaines, l'éditeur de sécurité russe est dans une mauvaise passe. « Le risque que le gouvernement russe, qu'il agisse seul ou en collaboration avec Kaspersky, puisse exploiter l'accès fourni par les produits Kaspersky pour compromettre les systèmes fédéraux engage directement la sécurité nationale des États-Unis », avait rapporté Elaine Duke, secrétaire par intérim du Département de la Sécurité intérieure.
Début octobre, le Wall Street Journal révélait que des hackers russes avaient dérobé des informations de cyberdéfense à la NSA en piratant l’ordinateur personnel d’un employé de l’agence de sécurité américaine sur lequel se trouvait un logiciel antivirus Kaspersky. Après avoir, par la voix de son CEO Eugène Kaspersky, balayé officiellement ces soupçons, l'éditeur a entamé un autre round de défense en livrant cette fois les conclusions préliminaires d'un rapport censé faire la lumière sur cette affaire. Publié le 25 octobre, ce dernier propose un déroulé chronologique des événements et apporte des précisions de contexte pouvant permettre de le mettre hors de cause. Et à l'inverse de mettre en cause - sans jamais toutefois explicitement le faire - l'utilisateur, sous-traitant de la NSA.
La clef de l'Office pirate en conflit avec l'antivirus Kaspersky
« L'utilisateur semble avoir téléchargé et installé des logiciels pirates sur ses systèmes comme indiqué par un générateur de clé d'activation d'une version illégale de Microsoft Office », indique le rapport. Alors que les produits de Kaspersky Lab installé sur les systèmes de l'utilisateur ont détecté que le malware était Win32.Mokes.hvl, ce dernier aurait pris sciemment un gros risque. « Pour installer et faire tourner ce générateur de clé, l'utilisateur semble avoir désactivé les produits Kaspersky sur sa machine. Notre télémétrie ne nous autorise pas à dire quand cependant le fait que le malware keygen ait été détecté plus tard suggère que l'antivirus a été désactivé ou n'était pas en fonctionnement lorsque le keygen a été exécuté. L'exécution de ce keygen n'aurait pas été possible avec l'antivirus activé. »
Le rapport de Kaspersky précise également que l'utilisateur a ensuite effectué à plusieurs reprises des scans ayant débouché sur la détection de nouvelles et inconnues variantes du malware Equation APT utilisé par la NSA en 2014 pour son programme de surveillance à grande échelle. L'archive contenant ce malware a été analysée par Kaspersky Lab avant d'ête effacée de tous les systèmes de l'éditeur. Compte-tenu du caractère ultra sensible de ce type de fichiers, l'escalade a été faite directement auprès d'Eugène Kaspersky : « L'analyste qui a reçu cette archive me l'a rapportée et la décision a été prise de l'effacer de tous nos systèmes. Rien n'a été partagé avec personne et plus aucune détection ultérieure de la part de cet utilisateur n'a été reçue », a indiqué à The Guardian, le CEO de Kaspersky.
La carte de la transparence
Si le fondateur de l'éditeur de sécurité pointe par ailleurs le fait « qu'aucune preuve crédible n'a été présentée pour justifier du rôle de la société dans cet incident », Kaspersky a quand même encore gros à perdre en termes de crédibilité, déjà sérieusement écornée depuis cet été. Pour tenter d'inverser la vapeur, la société tente de montrer patte blanche et joue la carte de la transparence. Plus tôt dans la semaine, l'éditeur a annoncé qu'il comptait donner accès au code source de ses solutions : pas à tout le monde bien sûr, mais à un tiers de confiance, sous condition. Une annonce qui s'accompagne de la création d'ici 2020 de trois centres de transparence dont un en Europe.