Sécurité - L’éditeur d’antivirus FireEye a identifié des serveurs de surveillance de Kaspersky comme ceux des pirates opérant le virus Gauss. Une erreur repérée après une annonce enthousiaste de la part de FireEye.
La course à l’angoisse peut mener à quelques chutes. Dans un billet de blog, l’éditeur d’antivirus FireEye déclare avec enthousiasme avoir trouvé que les serveurs opérant le virus voleur de données en ligne Gauss sont les mêmes que ceux mis en place pour le très médiatique virus d'Etat Flame. Les sites secuurity.net et gowin7.com seraient ainsi des bases d’opération pour les gens derrière ces deux menaces, liés à une même adresse IP aux Pays-Bas.
Le constat s’accompagne d’une découverte pour les spécialistes de FireEye : les auteurs des virus utilisent désormais de « faux noms » plutôt que des enregistrements anonymes pour les noms de domaine. Ces serveurs seraient d’ailleurs opérés à partir « d’entreprises connues et respectables », vraisemblablement infiltrées par les créateurs de ces virus.
FireEye prend Kaspersky pour des pirates
Pourtant, si les deux menaces sont bien soupçonnées de venir des mêmes développeurs, FiereEye semble être allé trop vite. Après la publication d’un article relatant la découverte sur Ars Technica, son concurrent Kaspersky, à l’origine de la découverte de Gauss, s’est manifesté. Les serveurs de « command and control » (CnC) identifiés par Fireye ne sont pas ceux de pirates mais les leurs.
Kaspersky avait précédemment déclaré que les serveurs CnC mis en place par les créateurs de Flame et Gauss n’étaient plus utilisés et les virus endormis. La firme russe a donc mis en place des serveurs « sinkholes » intermédiaires pour identifier et bloquer toute reprise d’activité. Sur un ton sec, Kaspersky répond à la bourde de FireEye.
« Pendant la mise en place de l'enquête sur les serveurs CnC de Gauss et la création de "sinkholes", nous avons prévenus des membres de confiance de la communauté sécurité à propos des IP de nos serveurs et des opérations, pour qu'ils soient au courant de toute activité. Le billet de FireEye à propos de connexions aux mêmes serveurs que Flame sont en fait des connexions à nos serveurs » explique ainsi l’éditeur, qui n’a donc pas prévenu FireEye.
Et de blâmer son concurrent : « Avec quelques recherches Google simples et des vérifications du Whois [infos sur le(s) propriétaire(s) d'un nom de domaine], ces chercheurs auraient pu vérifier tout cela. Vu que notre enquête et l'opération de nos serveurs "sinkhole" sont toujours en cours, nous n'avons pas d'autres éléments à fournir pour l'instant ». FireEye a reconnu son erreur et mis à jour ses informations sur cette « découverte ».