Les antivirus ont bloque les logiciels espions policiers

NetzPolitik partage un extrait du nouveau livre de Mikko Hyppönen, Chief Research Officer à F-Secure, « If It’s Smart, It’s Vulnerable », révélant comment il a réussi à faire de sorte que les autres antivirus bloquent les logiciels espion utilisés par les forces de l’ordre et services de renseignement :

« Lorsque les téléphones fixes sont devenus courants, les forces de l’ordre ont voulu avoir le droit de les mettre sur écoute. Après l’apparition des téléphones portables, la police a été autorisée à écouter les réseaux mobiles. Puis sont venues les autorisations de suivre les SMS et les courriels. »

Problème : depuis que les messageries chiffrées sont devenus la norme, ils ont obtenu le droit d’installer des logiciels malveillants sur les appareils des suspects : « ces logiciels contournent le chiffrement, car les messages sont lus avant d’être chiffrés ou après avoir été déchiffrés ».

Or, si les éditeurs d’antivirus aident la police à identifier les cybercriminels, après en avoir discuté avec plusieurs représentants des forces de l’ordre, Hyppönen finit par indiquer, publiquement, que « nous devions protéger nos utilisateurs, quelle que soit l’origine des logiciels malveillants. Notre définition des logiciels malveillants est technique, et non politique ou sociétale : un malware est un logiciel dont l’utilisateur ne veut pas sur son ordinateur ».

Ce pourquoi il fut contacté, en 2011, par le Chaos Computer Club (CCC) allemand, qui avait découvert que l’ordinateur portable d’une personne faisant l’objet de poursuites pour infraction douanière avait été infecté par un logiciel malveillant connu sous le nom de R2D2 ou 0zapft, vraisemblablement installé par des gardes-frontières allemands lorsqu’il avait débarqué à l’aéroport de Munich.

Le CCC avait en effet découvert « un logiciel malveillant complexe fonctionnant en arrière-plan de l’ordinateur et ont surveillé le fonctionnement de quatre programmes : Skype, Firefox, MSN Messenger et le chat ICQ » :

« Le CCC voulait s’assurer que, lorsque l’affaire R2D2 deviendrait publique, une solution antivirus connue et fiable n’hésiterait pas à la reconnaître, ce qui permettrait aux autres entreprises du secteur de suivre plus facilement. »

F-Secure avait alors rajouté à son antivirus la signature de R2D2, et Hyppönen publié dans la foulée un billet de blog expliquant ce pourquoi ils avaient décidé de bloquer ce type de logiciel espion, « même lorsqu’ils sont écrits par des agents de la force publique » :

« Trois heures plus tard, le logiciel antivirus Avast a commencé à supprimer le logiciel malveillant. Une heure après, McAfee a fait de même, suivi de Kaspersky. Dans la soirée du même jour, pratiquement tout le monde avait fait de même. La tactique de la CCC avait fonctionné. »

En savoir plus