Atlantico, c'est qui? c'est quoi ?
Samedi 25 Juin 2016 | Créer un compte | Connexion
Extra

Révélations sur nos disques durs mouchards de la NSA : comment s’assurer que votre ordinateur n'est pas contaminé

Kaspersky Lab, société russe spécialisée dans la sécurité des systèmes d'information, révèle l'espionnage des milliers de disques durs en Syrie, Iran, Russie, et accuse, sans le nommé, le service d'espionnage américain d'en être l'auteur. Les systèmes d'espionnage semblent toujours de plus en plus perfectionnés, et semblent chercher toujours plus d'informations.

Vu de l'intérieur

Publié le - Mis à jour le 19 Février 2015
Révélations sur nos disques durs mouchards de la NSA : comment s’assurer que votre ordinateur n'est pas contaminé

Après les révélations fracassantes d'Edward Snowden sur les précédentes campagnes américaines de collectes clandestines de renseignement électroniques, un nouveau scandale pourrait bien porter un coup fatal aux relations diplomatiques des Etats-Unis avec le reste du monde…

Kaspersky Lab, le fournisseur d'antivirus basé à Moscou, révèle ainsi que des services d'espionnage seraient parvenus à intégrer des logiciels espions au cœur même des disques durs produits par Toshiba, Seagate, Western Digital et bien d’autres fabricants. Tous les soupçons se portent sur la NSA (la célèbre "National Security Agency" américaine), bien qu'officiellement Kaspersky Lab se refuse à la nommer. Ces nouvelles révélations si elles étaient confirmées, montrent une nouvelle fois l'ampleur et la puissance du dispositif d'espionnage de la NSA ; mais aussi et peut être ; la complaisance dont feraient preuve certaines firmes, dans la fourniture des moyens technologiques offensifs au bénéfice de l'agence d'espionnage.

Ceci lui octroyant de facto la capacité d’étendre sa supériorité en matière d’interceptions et d’extractions de données sensibles. A moins qu’elles ne soient des victimes collatérales de ces infections virales ?

Atlantico : Comment peut-on infecter le disque dur d'un ordinateur ? Est-ce que ce dispositif  espion est « physique », ou s’agit-il d’un dispositif d’encodage spécifique ayant « infecté » directement tous ces ordinateurs au cœur ?  Peut-on parler d’un dispositif  d’espionnage en série ?

Franck Decloquement : Dans le cas qui nous intéresse, l’agence nationale de sécurité américaine (NSA) aurait compris comment cacher des logiciels d’espionnage au plus profond des disques durs vendus par plus d'une douzaine de sociétés, comprenant l'ensemble des acteurs du marché : Western Digital Corp, Seagate Technology Plc, Toshiba Corp, IBM, Micron Technology Inc et Samsung Electronics Co Ltd. Western Digital, Seagate et Micron ont déclarés qu'ils n’avaient pas connaissance de ces programmes d'espionnage. Toshiba, IBM et Samsung se sont refusés à tous commentaires.

Ces disques durs ont peut-être été « infectés » par un dispositif technologique spécifique afin d’aménager une « backdoor » (littéralement : une « porte arrière dérobée » en anglais). Ces données peuvent être ensuite extraites à la demande, et rapatriées pour être analysées par les services concernés afin d’être partagées et exploitées au bénéfice des intérêts stratégiques des Etats-Unis.

Kaspersky a publié les détails techniques de ses recherches, ce qui devrait aussi aider les établissements infectés à détecter les programmes d'espionnage malveillants, dont certaines traces remontent au début des années 2000. Si cela était confirmé, il pourrait en effet s’agir d’un dispositif d’espionnage à très grande échelle, compte-tenu de l’étendue des aires géographiques qui ont été ciblées prioritairement par un ou plusieurs programmes d’espionnage insidieux inclus dans des disques durs corrompus (la Russie, le Pakistan, l’Afghanistan, la Chine, le Mali, la Syrie, le Yémen et l’Algérie). Et ceci, sur des ordinateurs personnels ciblant des institutions gouvernementales et militaires, des entreprises de télécommunications, des banques, des sociétés d'énergie, des chercheurs nucléaires, des médias et des militants islamiques…

Maxime Pinard : Rappelons déjà que ce scandale, bien que réel, n’est en rien nouveau. Il y a eu plusieurs affaires ces dernières années de matériel informatique (des routeurs principalement) infectés lors de leur sortie d’usine, avec la mise en place de backdoors (portes dérobées) permettant au commanditaire de l’opération d’avoir un contrôle caché du matériel. Dans le cas présent, il semble que les logiciels espions aient été intégrés dans le firmware (ou micrologiciel), c’est-à-dire dans la mémoire du disque dur permettant à celui-ci d’être mis à jour, d’exécuter des commandes basiques pour échanger avec l’ordinateur sur lequel il est installé. Tous les composants informatiques (de la carte mère en passant par la carte graphique) comprennent un firmware qui fait l’objet de mises à jour pour corriger des failles ou apporter des améliorations. L’implantation d’un code malveillant requiert des compétences pointues, réservées à un milieu assez fermé, mais l’exercice est clairement facilité s’il se fait avant même l’installation du disque dur dans un ordinateur.

On peut toujours détecter une altération des fonctions du firmware, mais cela demande des logiciels spécifiques que la plupart des utilisateurs d’ordinateurs n’utilisent pas, voire ne connaissent pas. On peut employer l’expression « espionnage de série », même s’il faut voir la limite d’une telle démarche : bien que ces logiciels espions semblent avoir été introduits dans des disques durs vendus sur des marchés ciblés, il y a clairement le risque que l’opération manque sa cible, le disque dur pouvant être au final pour un autre destinataire que celui envisagé. Cela participe à la stratégie (américaine surtout) de collecter le plus possible, puis de faire le tri, prenant le risque d’être noyé sous l’information et de manquer l’essentiel. 

On comprend que la NSA serait responsable de cette « contamination », alors que la élèbre agence américaine ainsi que les principaux fournisseurs de disques durs se refusent à tout commentaire...

Franck Decloquement : On pourrait en effet augurer de la provenance de ces virus. Cependant, Kaspersky refuse de désigner publiquement le pays incriminé derrière la campagne d'espionnage. Déclarant simplement qu'il était étroitement lié à Stuxnet… Autrement dit le « cyberweapon NSA-conduit » qui avait été précédemment utilisé pour attaquer notamment l'usine iranienne d'enrichissement d'uranium. On pourrait toutefois ajouter que la NSA est l'organisme responsable de la collecte du renseignement électronique, pour le compte des États-Unis. A l’heure ou nous rédigeons ces lignes, le Porte-parole de la NSA, Vanee Vines, s’est refusé jusqu’à lors à tout commentaire.

Maxime Pinard : En réalité, si l’on se base entre autres sur les informations de du journaliste Shane Harris (livre : @War : The Rise of the Military-Internet Complex), il ne s’agit pas de pression financière ou d’embargo, mais davantage d’un partenariat discret. La NSA met ainsi au service des entreprises sa connaissance des menaces qui pèsent sur elles, en échange de quoi elle demande à inspecter les produits (connaissance des schémas, des différentes étapes de conception), voire demande à y insérer des backdoors. Cela a été le cas par exemple avec la société Cisco qui fournit des routeurs dans le monde entier, créant des failles de sécurité (et par conséquence facilitant l’espionnage) chez tous les utilisateurs qu’ils s’agissent d’individus, de sociétés, d’administrations…

Quels sont les moyens dont disposerait la NSA pour intégrer ses logiciels espions directement chez le producteur ?

Franck Decloquement : On peut en imaginer plusieurs. Dans le cas présent et très schématiquement, il ne s’agirait pas d’un dispositif « physique » au sens strict qui serait « monté en série » dans le hardware de chaque machine infectée. Selon les analystes de Kaspersky, les ingénieurs qui sont parvenus à ce résultat étonnant, ont sans aucun doute fait une percée technologique significative pour déterminer comment porter un logiciel malveillant dans le code obscur appelé aussi « firmware », qui lance un ordinateur à chaque fois que celui-ci s’initialise. Les auteurs de ces programmes d'espionnage insidieux ont vraisemblablement dû avoir accès au « code source  propriétaire » qui dirige les actions des disques durs de plusieurs grandes sociétés américaines de haute technologie et de la défense.  Ce code a ensuite du servir de « feuille de route » pour analyser les vulnérabilités inhérentes au dispositif, permettant à ceux qui les ont étudié dans le détail de diligenter ensuite des attaques beaucoup plus facilement.

Selon certains spécialistes et dans le cadre de cette hypothèse, la NSA aurait eu plusieurs façons d'obtenir le « code source » des sociétés de technologie concernées par ces actions malveillantes, y compris en se présentant le plus simplement du monde comme un développeur de logiciels lambda. Si une entreprise veut vendre des produits au Pentagone ou auprès d’une autre agence américaine « sensible », le gouvernement peut alors demander un audit de sécurité, en prétextant la vérification du « code source » afin de s’assurer que celui-ci est sûr…

Dans le cas contraire, il est évident que pour que la NSA puisse inclure des dispositifs technologiques espions de la sorte, sur des lots entiers de disques durs - et ceci de manière « physique » - il serait nécessaire de passer avec les fabricants de disques durs incriminés des accords secrets… Pour ce faire, on pourrait imaginer qu’il existe une connivence « naturelle » entre certaines firmes productrices de matériels informatiques et l’agence américaine de sécurité. Mais ceci ne semble pas être le cas dans cette affaire. Aux Etats-Unis, des partenariats entre les entreprises privées et les institutions en charge de la sécurité nationale existent bel et bien. Une certaine porosité est de mise, ceci n’est pas nouveau. De toute évidence, les grandes firmes américaines entretiennent des liens ténus avec les autorités de leur pays et leurs services de renseignement, et s’impliquent autant que possible dans la protection des intérêts stratégiques des Etats-Unis. Plutôt que de « pressions », on parlera d'une tendance « naturelle à l'entente », qui a - il faut bien le préciser - toujours existé… C’est aussi une question de culture stratégique.

 
Commentaires

Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.

  • Par Texas - 18/02/2015 - 10:51 - Signaler un abus Surtout...

    ... indestructible selon Kaspersky Lab !

  • Par Anouman - 18/02/2015 - 20:38 - Signaler un abus Virus

    Mettre du logiciel espion sur des disques dur au cours du processus de fabrication semble irréaliste sans la complicité du fabricant. La NSA est la matérialisation parfaite du coté paranoïaque des gouvernements américains. Les Hollande Merkel devraient plutôt s'occuper de ce big brother plutôt que de faire des sanctions économiques à la Russie. Ce serait plus profitable pour le bien commun.

Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Franck Decloquement

Franck DeCloquement est expert en intelligence économique pour le groupe Ker-Meur et ancien de l’Ecole de Guerre Economique de Paris (EGE). Professeur à l'IRIS (Institut de Relations Internationales et Stratégiques) pour le Master 2 IRIS Sup' en « Géo-économie et intelligence stratégique », diplôme délivré conjointement par l'IRIS Sup' et l'ESC Grenoble, Franck DeCloquement est aussi conférencier sur les menaces émergentes liées aux actions d'espionnage, et les déstabilisations de nature informationnelle et humaine. Il est en outre intervenu récemment pour la SCIA (Swiss Competitive Intelligence Association) à Genève, et les assises 2015 de la FNCD (Fédération Nationale des Cadres Dirigeants) au Sénat.
 

Voir la bio en entier

Maxime Pinard

Maxime Pinard est directeur de Cyberstrategia, site d'analyse stratégique portant sur les enjeux du cyberespace et de la géopolitique en général. Il est adjoint aux formations à l'IRIS, en charge de l'enseignement à distance et de la formation "Action humanitaire : enjeux stratégiques et gestion de projet".

Voir la bio en entier

Frédéric Mouffle

Directeur du pôle investigations et sûreté informatique chez Ker-Meur. Formateur et conférencier sur les menaces émergentes liées aux nouvelles technologies, il intervient notamment à l'Ecole Européenne d'Intelligence Economique de Versailles

Voir la bio en entier

Je m'abonne
à partir de 4,90€