Le 30 mars, Robert McMillan, de Network World, signait un scoop assez dévastateur, accusant Samsung d’installer des keyloggers sur ses ordinateurs portable « série R ». La découverte avait été faite par Mohamed Hassan, un spécialiste sécurité bardé de diplômes : MSIA, CISSP, CISA, diplômé de la faculté de Norwich (sciences forensiques informatiques). Généralement, le genre de personnage dont les paroles font autorité.
Dans un premier temps, le représentant local du constructeur élève de véhémentes dénégations allant même jusqu’à accuser Microsoft de cet impair
puis admet la responsabilité de l’entreprise et la présence du logiciel d’espionnage commercial connu sous le nom de StarLogger pour améliorer les performances des machines». Réponse plus ou moins rejetée par un porte-parole officiel de Samsung qui, quelques temps plus tard, assure que l’entreprise « prend très au sérieux les allégations de Mr Hassan » mais que « nous n’avons aucune connaissance préalable d’une utilisation de ce logiciel (le keylogger) sur nos portables »… affirmation allant même jusqu’à certifier ne pas connaître l’éditeur du logiciel d’espionnage en question.
Notre confrère tout comme Mohamed Hassan évoquent le précédent du rootkit Sony-BMG installé sur certains CD audio diffusés par la marque. Sans pour autant rappeler qu’il aura fallu très peu de temps à quelques reversers pour que ledit rootkit soit transformé en un vecteur d’intrusion pour n’importe quel usager autre que Sony. Car bien entendu, ce qui intéresse un spécialiste sécurité, ce n’est pas la présence d’un espionniciel commercial, c’est la façon dont ledit espionniciel pourrait être détourné. Ce qui implique au moins une rapide analyse du comportement « in vivo » du programme en question, à commencer par l’étude de son mécanisme d’installation, de fonctionnement, de communication des informations à destination de son centre de commande, sans oublier ses méthodes de stockage local des informations collectées. Car un keylogger, ça récupère généralement un sacré paquet d’informations.
A première vue, la morale de cette histoire, c’est que lorsque l’on est client Canadien de Samsung, l’on peut acquérir une licence gratuite d’un logiciel de keylogging pour tout achat d’un ordinateur portable.
Mais dans la nuit du 31 mars au premier avril, le soufflé retombe. Samsung dément formellement l’existence de tout spyware, et fait remarquer que le seul indice ayant pu faire penser à la présence de ce keylogger était un répertoire baptisé SL. Mais le support multilingue des applications Microsoft Live crée également un répertoire homonyme, lequel a immédiatement fait hurler les sirènes de l’antivirus de Mohamed Hassan. Le coupable ? L’antivirus Vipre de GFI. Lequel GFI s’excuse platement pour ce faux-positif.
Ce qui est anormal, dans cette épopée fleurant l’espionnite aigüe, ce n’est pas le papier de notre confrère, lequel disposait d’une source réputée fiable, elle-même certifiée par des organismes ayant pignon sur rue, tel l’ISC² ou l’Université de Norwich. Ce n’est pas non plus franchement de la « faute » de GFI. Le faux positif, pour agaçant qu’il soit, fait partie des désagréments de notre vie. Après tout, un antivirus qui réagit, c’est toujours plus rassurant qu’un antivirus qui se tait et laisse passer les attaques importantes (à tout hasard, Lizamoon). Est-ce de la faute de Samsung ? Encore moins… mais le précédent « Sony BMG » pèse encore lourd dans la destruction du capital-confiance que les grands industriels inspirent au public. Sony s’est rendue coupable d’un acte de piraterie, et ce pas de clerc a rejailli sur toute l’industrie informatique de grande consommation. La responsabilité de Monsieur Mohamed Hassan, en revanche, est légèrement plus certaine. Un spécialiste patenté qui crie au loup sur la seule preuve apportée par un antivirus, sans « log » de keylogger à se mettre sous la dent, sans preuve Wireshark d’une tentative de « E.T. téléphone maison » émis par le keylogger, sans même la plus petite capture d’écran d’un System Monitor (de Mark Russinovich, inventeur du spyware Sony-BMG), tout çà est un peu « limite ». Deux jours plus tard, l’affaire aurait fait sourire.
