Celui qui n’aurait pas dû installer l’antivirus Kaspersky

Où l’on découvre la carrière brisée d’un fonctionnaire à cause d’un penchant, au choix, pour des versions crackées de Windows ou pour l'antivirus du célèbre ingénieur russe.

mars 16, 2025

Bonjour,

Bienvenue pour la fin de cet épisode sur les Shadow Brokers. Après la piste Harold T. Martin III, évoquée la semaine dernière, parlons aujourd’hui de la deuxième ramification autour de cette affaire de fuite de l’arsenal de la NSA, l’agence chargée du renseignement technique aux Etats-Unis. Avant d’entamer le récit, pour rappel, n’hésitez pas à parler autour de vous de cette newsletter, votre soutien est précieux.

Thanks for reading Pwned! This post is public so feel free to share it.

Il y a en effet une deuxième piste très sérieuse suivie par la justice américaine. Comme le rappelait en novembre 2017 Le Point, on dénombrait trois arrestations d’employés liés à la NSA depuis 2015. Harold T. Martin en 2016, le premier suspect dans l'affaire des Shadow Brokers. Puis en 2017, la linguiste militaire Reality Winner, accusée d’avoir transmis un rapport confidentiel à “The Intercept”, une affaire tout à fait différente.

Enfin, en fin d'année 2017, la mise en examen d'une mystérieuse troisième personne, un développeur arrêté pour avoir emporté chez lui des documents secrets. Ce troisième employé mis en cause faisait partie de la mythique unité de piratage de la NSA, la Tailored Access Operations, celle-là même qui s'est retrouvée au cœur des fuites de Shadow Brokers.

Il ne va pas rester anonyme bien longtemps. Au début du mois de décembre 2017, après le plaider coupable de ce dernier, la justice américaine dévoile son identité et ce qu’elle lui reproche.

Âgé de 67 ans - pas besoin d’être jeune pour être un bon pirate, donc - Nghia Hoang Pho bossait depuis 2006 pour la NSA. A partir de 2010, cet Américain originaire du Viet-Nam a commencé à ramener chez lui des informations hyper sensibles. Visiblement pas par malveillance, mais pour rattraper son retard sur ses collègues.

Ne maîtrisant pas parfaitement l’anglais, remarque le New York Times, il travaillait le week-end et le soir pour être au niveau de ses collègues. Or pour l’accusation, il y avait une grosse faille de sécurité à son domicile : la présence sur son ordinateur de l’anti-virus Kaspersky.

Un reproche paradoxal, ce genre de logiciel étant censé aider à renforcer sa sécurité. Mais c’est un type de cheval de Troie qui serait assez judicieux au vu du trésor de secrets que ses logiciels, par essence très intrusifs, peuvent ramasser. Pour vérifier la présence de malware, ils doivent en effet avoir un accès total au système.

Selon le Wall Street Journal, qui va dévoiler ce pan de l’affaire, l’antivirus de Kaspersky aurait donc fait office de backdoor pour exfiltrer des documents sensibles de l’ordinateur personnel de l’employé de la NSA. Des accusations pas étayées, dénonce aussitôt l’entreprise dans un communiqué.

Mais comme le rappelle au Washington Post une source proche du dossier, les serveurs de Kaspersky sont situés à Moscou, à portée de main du FSB ou d’une autre agence russe. Sans qu’il n’y ait forcément besoin de l’assentiment de l’éditeur donc.

Ce dernier pourrait ainsi avoir été lui-même piraté par un service de renseignement. Qu’il soit russe ou… israélien! Ce sont ces derniers qui ont signalé à leurs partenaires américains que Kaspersky servait de cheval de Troie aux espions russes pour chercher des informations classifiées chez des utilisateurs à la bannière étoilée. “Un tournant”, relevait Artem Baranov, un expert en sécurité russe qui a travaillé chez Kaspersky, synonyme d’une défiance grandissante des utilisateurs envers la firme russe.

Dans un post assez long divulguant son enquête interne, une première dans ce secteur, rappellera Le Monde, Kaspersky signale toutefois avoir bien identifié un incident entre septembre et octobre 2014 - l’entreprise détaillera également le piratage dont elle a été victime, sans attribuer formellement l’attaque. Quoiqu’il en soit, l’incident s'est produit chez un utilisateur vivant aux alentours de Baltimore - Nghia Hoang Pho vit à Ellicott City, à une dizaine de miles de la ville portuaire.

Petit rappel : pour améliorer ses capacités de détection, l'antivirus cherche automatiquement sur les machines de ses utilisateurs la présence de nouveaux codes malveillants. C’est ce qu’il s'est passé ici. Sauf que la prise est ultra sensible. Ce sont en fait des signatures de malware spécifiques au groupe Equation qui sont alors détectées !

L’alerte remonte aussitôt la tête de l’entreprise. A la demande d’Eugène Kaspersky, le patron de l’éditeur, l'archive est supprimée des systèmes de la société. Ne restent alors que les seules traces liées à sa détection, assure l’entreprise russe, qui se défend d'avoir communiqué à des tiers ces fichiers sensibles.

Et de pointer une autre piste : oui, cet utilisateur aurait pu être une cible privilégiée pour des services de renseignement. Mais ces derniers ont pu passer par d’autres portes… L'éditeur souligne ainsi chez l'utilisateur concerné ce besoin plutôt malvenu d'avoir recours à des versions crackées de Windows et du logiciel bureautique Office, l’un des exemples de sa mauvaise sécurité.

Dix mois plus tard, le plaider-coupable de Nghia Hoang Pho est suivi de sa (lourde) condamnation. Le sexagénaire écope finalement de 5 ans et demi de prison pour “conservation volontaire d'informations relatives à la défense nationale”. C'est assez sévère : à titre de comparaison, dans une affaire assez similaire, l’ancien patron de la CIA avait écopé de deux ans de prison avec sursis et une lourde amende pour avoir transmis des infos secrètes à sa biographe et maîtresse.

“Je n’ai pas trahi les États-Unis, je n’ai envoyé ces informations à personne, je n’ai pas réalisé de profit”, rappelait pourtant Nghia Hoang Pho. Le juge, certes compatissant, avait signalé vouloir prononcer une peine dissuasive.

Le procès est plutôt frustrant : pour cause de huis-clos, la façon dont les données sorties frauduleusement de la NSA auraient fini en Russie n’a pas été abordée publiquement. Au final, on ne peut pas vraiment affirmer que Nghia Hoang Pho a bien été la source des Shadow Brokers.

Même constat pour Harold T. Martin III : l'informaticien a été condamné lui à neuf ans de prison en juillet 2019, une des peines les plus longues prononcées pour ce même délit. Mais sans que l'on parvienne vraiment à déterminer son implication réelle dans l'affaire des Shadow Brokers - l’un des articles du New-York Times publié sur l’histoire suggère qu’il n’y a manifestement pas de lien.

Après leur coup d’éclat de l’été 2016, ces mystérieux pirates dévoileront une nouvelle série de codes malveillants explosifs en avril 2017, dont Eternal Blue, l’exploit qui sera réutilisé par WannaCry. Avant de repartir dans l’ombre.

Reste un dernier épisode abracadabrantesque à signaler en marge de cette histoire. La presse américaine fera ses choux gras du récit d’un Russe qui a réussi à escroquer 100 000 dollars aux autorités américaines - au départ, le prix avait été fixé à 10 millions - en leur faisant miroiter la livraison de la totalité de l'arsenal cyber volé à la NSA.

Il s’agissait en réalité de données des Shadow Brokers déjà rendues publiques…

A bientôt pour une histoire de cybercrime,

Bonne journée,

Gabriel

Relecture: Mnyo

Article mis à jour le 18 mars 2025 après le signalement d’un lien intéressant sur l’histoire par Vincent A.

PS: L’histoire vous a plu? Pour me payer un café, c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).

Sources

États-Unis : "Shadow Brokers", l'affaire qui déstabilise la NSA

Reality Winner: NSA contractor and environmentalist repulsed by Trump

Maryland Man Pleads Guilty to Willful Retention of National Defense Information

He Took Home Documents to Catch Up on Work at the N.S.A. He Got 5½ Years in Prison.