Code ultrasophistiqué, cible stratégique… certains spécialistes voient dans certains malwares la signature d’un Etat.
Cheval de Troie, virus, ver… Tous ces malwares ne sont pas uniquement les outils de pirates indépendants : des Etats ont aussi investi dans ces armes, et n’hésitent plus à utiliser des programmes informatiques pour espionner leurs voisins ou leur causer du tort.
Bien sûr, difficile de se passer du conditionnel, car ces pays n’admettent pas leur responsabilité. Mais la sophistication de certains malwares, leurs cibles et leur modus operandi poussent la plupart des spécialistes à y voir la signature d’un Etat. En voici 7.
Babar, le malware lié au service secret français
L’année dernière, un document révélé par Snowden évoquait une opération de cyberespionnage conduite par la France et utilisant un spyware répondant au nom de Babar. Les experts en sécurité Marion Marschalek et Paul Rascagnères ont pu mettre la main dessus, et l’analyser. Ce “Babar” peut enregistrer et transmettre ce qui s’affiche à l’écran de l’ordinateur infecté, ou les frappes sur son clavier.
“Avec l’appui possible d’un Etat, ce logiciel d’espionnage ne s’est pas propagé massivement, mais s’est limité à des cibles choisies bien précises”, écrit Paul Rascagnères, de GData. L’Iran, mais aussi des pays européens et africains ont fait partie de ses victimes.
Flame, un virus qui a ciblé le Proche-Orient
En analysant le trojan Flame en 2012, Kaspersky le qualifiait de “cyber-arme la plus sophistiquée jamais rencontrée”. Flame peut “renifler” le trafic web pour l’analyser, enregistrer les frappes d’un clavier, réaliser des captures d’écran lorsque des applications clés démarrent, et enregistrer des conversations audio. Le malware est dans la nature depuis mars 2010. Il s’est essentiellement propagé au Proche-Orient. Selon Kaspersky, aucun doute qu’avec de telles cibles, et une telle complexité, “un Etat a sponsorisé son développement”.
Le Washington Post affirme aussi, sans conditionnel, que Flame a été développé par les Etats-Unis et Israël.
Regin, résultat d’un “niveau de compétence rarement vu”
Regin est un cheval de Troie qui a nécessité “un niveau de compétence rarement vu”, d’après Symantec qui a pu disséquer le malware et ensuite publier, fin 2014, son analyse détaillée. D’après Snowden, ce malware a été créé par la NSA et son équivalent britannique, le GCHQ.
Son fonctionnement complexe, utilisant des modules, du chiffrement, et différents niveaux d’exécution, a requis un développement de plusieurs mois, voire de plusieurs années d’après Symantec. L’éditeur d’outils de sécurité affirme que ce malware a été utilisé depuis 2008 pour espionner des gouvernements, des opérateurs télécoms, des entreprises, ou encore des chercheurs.
The Mask (alias Careto), l’oeuvre d’hispanophones
Le malware “The Mask” est décrit lui aussi comme “extrêmement sophistiqué” par Kaspersky. Actif pendant au moins 5 ans jusqu’en janvier 2014, il aura ciblé des administrations, des ambassades, et des entreprises du secteur de l’énergie, notamment. Ses victimes ont été trouvées dans des dizaines de pays partout dans le monde. Là encore, Kaskersky arrive à la conclusion qu’un état a sponsorisé ces opérations. Ses auteurs semblent en tout cas être hispanophones.
A noter que le malware a pu exploiter une vulnérabilité 0 day dans Flash. Une faille découverte lors du célèbre concours Pwn2Own par Vupen, entreprise bien connue pour vendre des 0 days et des exploits à des agences gouvernementales.
Uroburos ou Snake, un malware russe utilisé pour espionner les Etats-Unis ?
Fruit d’un “énorme investissement” selon GData, Uroburos a été imaginé “pour dérober des données confidentielles”. Selon le fournisseur, ceux qui se cachent derrière Uroburos sont les mêmes que ceux qui ont mené une cyberattaque contre les Etats-Unis en 2008. A cette date, une clé USB oubliée dans un parking du département de la Défense américain a pu infecter le réseau des militaires avec un malware appelé agent.btz. Un centre de commande, alors à l’œuvre dans des guerres en Irak et en Afghanistan, aurait été la victime de ce malware. Plusieurs années après, Reuters annonce que les soupçons américains s’étaient immédiatement dirigés vers la Russie.
Gauss : des banques libanaises ciblées
D’après un rapport publié par Kaspersky, Gauss a été financé par un Etat. C’est un trojan créé en 2011 qui a été distribué au Proche-Orient pendant au moins 10 mois. Il est basé sur la même plateforme que Flame, et en partage certaines fonctionnalités.
Gauss a été conçu pour voler les identifiants pour différents réseaux sociaux, mails et comptes de messagerie instantanée, mais aussi de systèmes bancaires. Il peut ainsi intercepter des données nécessaires pour s’identifier auprès de plusieurs banques libanaises, par exemple, la Bank of Beirut, Byblos Bank, et Fransabank.
Stuxnet, quand la réalité dépasse la fiction
Avec Stuxnet, la réalité a dépassé la fiction : découvert en 2010, ce malware a visé le programme nucléaire iranien et son site d’enrichissement d’uranium de Natanz. Il a révélé la grave vulnérabilité qui peut menacer de tels systèmes industriels. Mais Stuxnet est le fruit d’un travail colossal, qui aura nécessité l’exploitation de plusieurs failles 0 day et le vol de plusieurs certificats de sécurité. Les auteurs de Stuxnet ont ensuite sans doute créé Duqu, un dérivé très proche.
Le New York Time l’affirme, Stuxnet est l’œuvre des Etats-Unis – Obama ayant décidé d’accélérer un projet lancé par George W. Bush.
D’après un rapport de Symantec, près de 60% des infections de Stuxnet ont été observées en Iran, qui ne fut pas la seule victime.
———————
La précédente sélection n’est pas exhaustive. Tous ces malware sont soupçonnés par des spécialistes d’avoir été financés par des Etats, mais il est très difficile de confirmer ces soupçons, aucun Etat n’a reconnu sa responsabilité et de nombreuses techniques peuvent être utilisées pour brouiller les pistes.
Source : http://www.journaldunet.com
Ma playlist de méditation que vous pouvez entendre aussi en cérémonie :
