Kaspersky a-t-il créé de faux malwares pour nuire à ses concurrents ?

Eugène Kaspersky, le PDG de Kaspersky Lab, semble de plus en plus acculé face à l’affaire des « faux positifs ». Le 14 août, le journaliste Joseph Menn de Reuters affirmait, en s’appuyant sur les déclarations de deux ex-employés de l’éditeur qui souhaitent rester anonymes, que l’entreprise avait diffusé de faux malwares pour nuire à ses concurrents. M. Kaspersky avait réfuté en bloc toutes ces accusations, qu’il jugeait fantaisistes et non fondées et qu’il qualifiait même de « conneries » («BS»).

I don’t usually read @reuters. But when I do, I see false positives. For the record: this story is a complete BS: https://t.co/m0Rcy2Vm6Y

— Eugene Kaspersky (@e_kaspersky) August 14, 2015

Mais Joseph Menn vient d’en remettre une couche en citant des extraits d’e-mails datant de 2009, entre Eugene Kaspersky et ses directeurs. Dans ces échanges, M. Kaspersky avait émis le souhait de « faire disparaître » (« rubbing out ») son concurrent anglais AVG. « De plus en plus, j’ai le désir de les frapper avec leurs faux [positifs, ndlr] », aurait-il ajouté. Si AVG a provoqué la colère d’Eugène Kaspersky, c’est en raison d’une campagne de recrutement agressive ciblant particulièrement les cadres de l’éditeur russe.

Les échanges ne précisent pas ce que « faire disparaître » signifie. Mais dans un e-mail, M. Kaspersky explique que cette méthode avait déjà été utilisée avec succès en 2002-2003 contre un concurrent chinois. Selon Reuters, qui s’appuie là aussi sur les indications d’un ex-employé de Kaspersky, il s’agissait de la société Beijing Jiangmin New Science & Technology Co. Celle-ci commercialisait à l’époque l’un des principaux antivirus en Chine. Le hic : son moteur de détection utilisait les signatures de Kaspersky, ce que ce dernier n’aurait pas du tout apprécié. Pour se venger de ce piratage, il aurait donc diffusé des faux malwares pour provoquer des faux positifs chez les clients de Jiangmin. « Tout d’un coup, les clients sont allés chez Kaspersky », souligne un expert chinois interrogé par Reuters. Et d’après les sources anonymes de l’agence de presse, cette méthode aurait également été appliquée par Kaspersky contre AVG, Microsoft et Avast entre 2009 et 2013.

Des injections de code savamment calculées

Mais comment peut-on faire pour diffuser des faux malwares ? Pour lutter plus efficacement contre les logiciels malveillants, les éditeurs d’antivirus partagent leurs échantillons au travers de plateformes communes telle que VirusTotal.com. Supposons alors que quelqu’un prenne un fichier, un driver d’imprimante par exemple, lui injecte un petit bout de code de malware puis le dépose ni vu ni connu sur VirusTotal (par l’intermédiaire de TOR par exemple). Il est alors possible que certains moteurs de détection prennent le bon fichier pour un malware et le place en quarantaine, assurant un stress certain chez les clients. Sur le principe, cela sonne assez simple. Dans la pratique, il faut avoir une certaine expertise pour réaliser ce type d’attaque, car il faut bien doser la quantité de malware à injecter et, surtout, savoir où placer le code dans le fichier d’origine pour tromper le moteur de détection que l’on souhaite cibler.

De son côté, Kaspersky réfute de nouveau en bloc les accusations de Reuters. Dans un communiqué, la société explique que les emails cités par le journaliste « ne sont peut-être pas légitimes et proviennent de sources anonymes qui ont des intentions cachées ». Par ailleurs, elle souligne que les extraits sont cités hors de leur contexte et ne constituent aucune preuve. Elle explique, évidemment, ne jamais avoir initié de campagne secrète pour nuire aux compétiteurs. « De telles actions sont contraires à l’éthique, malhonnêtes et illégales », ajoute l’entreprise russe.

Anonymous sources + non-legitimate evidence = new wave of sensationalist investigative journalism. Bravo Reuters!

— Eugene Kaspersky (@e_kaspersky) August 29, 2015