Sécurité

WikiLeaks prétend que la CIA a délivré des certificats en se faisant passer pour Kaspersky

Ces derniers mois, WikiLeaks s’est engagé dans la chambre forte 7, un travail qui a conduit à la fuite de milliers de documents qui ont révélé l’énorme pouvoir d’espionnage des services de renseignement américains. L’organisation se concentre désormais sur le coffre-fort 8 : l’un des premiers rapports issus de cette fuite indique que la CIA passe par Kaspersky pour dissimuler un puissant outil d’attaque.

Identifié sous le nom de “Hive”, cet outil permettait à la CIA de transmettre à ses serveurs des informations confidentielles capturées par des logiciels malveillants, ainsi que de leur envoyer d’autres types de commandes. Tout a été fait pour éviter que l’agence ne soit découverte, même si les “victimes” ont remarqué une activité anormale.

Grâce à cette tactique, l’agence a pu mener des attaques et des invasions sans attirer l’attention, selon WikiLeaks. Le contenu des documents révèle que, pour ne laisser aucune trace, plusieurs astuces ont été utilisées. L’une d’entre elles consistait à enregistrer des domaines de manière anonyme et à les activer sur des serveurs web commerciaux.

  C'est avec cette puce que la Chine aurait infiltré Apple, Amazon et d'autres entreprises américaines

Lorsqu’on y accède, ces domaines semblent n’avoir qu’un contenu inoffensif, mais servent en fait d’intermédiaires dans la communication des logiciels malveillants, en envoyant des informations capturées aux serveurs de la CIA via des réseaux privés virtuels. De cette façon, il était pratiquement impossible de découvrir la destination finale des données.

Un visiteur innocent qui est entré par hasard dans le domaine a vu le contenu sans avoir besoin de s’authentifier ? les serveurs contenaient une méthode d’authentification facultative. Les logiciels malveillants, oui, se sont authentifiés. Pour ce faire, la CIA a utilisé de faux certificats créés au nom d’autres entités, selon Wikileaks.

La chambre forte 8 comprend trois exemples de faux certificats pour le compte du laboratoire Kaspersky, à Moscou, signés par le service Thawte Premium Server au Cap. Ainsi, si une organisation ciblée par l’espionnage remarquait un trafic anormal et le suivait sur place, elle pouvait attribuer la saisie de données à des entreprises ou des institutions dont les noms étaient mal utilisés, sans même penser que la CIA pouvait être derrière cette action.

  Un mois plus tard, au moins 300 000 serveurs sont toujours vulnérables à Heartbleed

On ne sait toutefois pas exactement combien de temps le régime aurait fonctionné. Mais le code source publié par Wikileaks suggère que Hive était en effet un système fonctionnel et qu’il a donc pu être utilisé dans de nombreuses opérations d’espionnage.

Mais le détail qui attire vraiment l’attention est l’association de Hive avec le nom de Kaspersky. L’affaire a été révélée à un moment de conflit : les autorités américaines ont placé l’entreprise comme suspect dans un prétendu plan d’espionnage dirigé par le gouvernement russe. Jusqu’à présent, cependant, il n’y a pas de preuves contre Kaspersky. L’entreprise elle-même a même déclaré qu’elle “est piégée au milieu d’une lutte géopolitique”.

Concernant le coffre-fort 8, Eugène Kaspersky, PDG de l’entreprise, a déclaré via Twitter que les certificats utilisés au nom de Kaspersky sont en réalité des faux et a souligné que les clients et les services de l’entreprise restent sécurisés.

A propos de l'auteur

Ronan

Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

Laisser un commentaire