Google aime à se présenter comme un champion de la cybersécurité. À travers son programme Project Zero, il traque les failles de systèmes informatiques mondiaux et son renommé groupe d'experts du Threat Analysis Group déjoue quotidiennement les attaques russes, chinoises et nord-coréennes.
Récemment, les deux équipes se sont vantées d'avoir pêché un gros poisson. Deux billets de blog récents de Project Zero racontent comment Google a déjoué en octobre 2020 une opération de piratage massive de type «attaque de trou d'eau», consistant à détecter une vulnérabilité d'un site internet pour l'infecter le moment venu.
Google dévoile que ces hackers ont utilisé des techniques «sophistiquées» et «inédites». Le blog révèle notamment des détails cruciaux sur les failles utilisées par les assaillants durant leurs neuf mois d'activité.
Curieusement, le blog omettait de manière flagrante les principaux détails, en particulier les auteurs du piratage ainsi que les cibles visées, ou encore le malware utilisé.
Et pour cause: les pirates en question étaient en fait… des membres de gouvernements occidentaux amis menant une opération antiterroriste, probablement approuvée ou soutenue par les États-Unis eux-mêmes, comme le révèle la MIT Technology Review.
Or, les employés de Google ne pouvaient pas ignorer la nature de ces attaques, affirme le site. «Les opérations occidentales sont parfaitement reconnaissables», assure ainsi un ancien haut responsable du renseignement américain.
C'est donc en toute connaissance de cause que Google a anéanti les opérations de hackers «amis», sans que l'on sache s'il a même pris la peine d'en informer les gouvernements concernés.
Vrais-faux amis
C'est loin d'être la première fois que l'entreprise «nettoie» des logiciels malveillants «amicaux». Sauf que d'habitude, ces opérations ne sont pas rendues publiques. En 2019, Google avait publié des failles probablement issues d'un groupe de pirates liés au gouvernement américain.
Mais cette recherche portait sur une opération historique, tandis que le récent billet de Google met en lumière une opération de cyberespionnage en direct, souligne le MIT.
Or, certains observateurs font remarquer que l'étouffement de l'intrusion en temps réel est cette fois intervenue à un moment potentiellement décisif pour la mission antiterroriste, sans possibilité de redémarrer rapidement.
Google ne se dédie pourtant absolument pas, et se défend en expliquant que «le partage de cette recherche [sur les vulnérabilités] conduit à de meilleures stratégies défensives et augmente la sécurité pour tout le monde».
Même si c'est un gouvernement occidental qui exploite ces vulnérabilités, leurs techniques finiront par être utilisées par d'autres, donc le bon choix est toujours de corriger la faille dès qu'elle est détectée, fait valoir l'équipe.
Il est en tout cas certain que les gouvernements concernés ont dû peu apprécier la divulgation de leur opération. Les protestations diplomatiques se sont faites cependant plus discrètes que les vantardises de Google.
