«Casper», un virus informatique «made in France», espionne la Syrie!
Un virus très perfectionné, baptisé «Casper», a été utilisé en avril en Syrie. Ses similitudes avec d'autres programmes laissent supposer qu'il pourrait venir des services secrets français.
La famille du logiciel espion «Babar» vient de s’agrandir. Joan Calvet, chercheur de la société Eset, fondée en Slovaquie, a identifié un nouveau programme, baptisé «Casper», qu'il attribue, avec «un haut niveau de confiance», aux mêmes développeurs que
«Babar», d’après le rapport que Libération a pu consulter avant sa publication.
«Babar» a un pedigree aussi fameux que mystérieux. Les services de renseignement canadiens, cités dans un document fourni par Edward Snowden, en attribuent la paternité – avec «une certitude modérée» – aux services secrets français. Le Monde, qui a révélé le document, soulignait qu’une telle assertion était en soi «assez rare dans un univers où la certitude absolue n’existe pas en matière d’attribution d’attaque informatique». Seule la direction générale de la sécurité extérieure (DGSE) mène ce genre d’actions offensives en France, le volet protection étant du ressort de l’agence nationale de sécurité des systèmes d’information.
«Une version mâture de Babar»
«Aucun signe ne pointe vers qui que ce soit», explique à Libération Joan Clavet, qui a analysé «Casper». Le chercheur se garde de confirmer ou d’infirmer l’hypothèse émise par les services de renseignement canadien. La DGSE, contactée par Libération, «ne commente pas ses activités réelles ou supposées». «Tout est neutre, très bien fait, en anglais, comme si Casper était une version mature de Babar [conçu en 2009, ndlr], dont les erreurs auraient été corrigées». Un faisceau d’indices rend crédible la piste française.
Ses similitudes avec «Babar», d’abord. «Plusieurs parties de code très spécifiques de Casper sont aussi dans Babar et Bunny [un autre programme de la même famille, récemment identifié]», indique Joan Calvet. Tous les trois portent d’ailleurs les noms de dessins animés, donnés par leurs concepteurs…
La cible du virus aussi intrigue: la Syrie. «Casper» a été installé en avril sur un site lié au gouvernement syrien. Le chercheur souligne que ses créateurs avaient «un intérêt vraisemblable pour la géopolitique». Les caractéristiques techniques du virus, et son extrême perfectionnement, laissent enfin penser que «les opérateurs de Casper appartiennent à une puissante organisation», capable de mener des opérations de «haut niveau».
Se taire plutôt que d’être découvert
Que fait «Casper»? C’est littéralement un programme espion fantôme: il récolte le plus discrètement possible des informations sur ses cibles, sans jamais dévoiler sa présence, puis transmet son rapport. En bon espion, il s’adapte à son environnement et préfère se taire – ne pas faire remonter de renseignements – qu’être découvert. Quitte, s’il le faut, à s’autodétruire.
Transposé dans un environnement informatique, «Casper» détecte la présence d’antivirus sur les machines infectées et se met, ou non, en branle en fonction de ce qu’il trouve. Mieux, «pour réaliser certaines actions "bruyantes", comme lire un fichier de la machine, Casper choisira une méthode différente en fonction de quel antivirus s’exécute sur l’ordinateur», détaille Joan Calvet.
Pour accéder aux ordinateurs, «Casper» utilise deux failles alors inconnues, appelées de «zero day», dans Flash. C’est ce qui permet en quelque sorte d’ouvrir les portes des ordinateurs cibles puis, dans un deuxième temps, de collecter les informations. Quant à ce qui est fait de ces informations, Eset n’en a pour l’instant aucune idée. D’autres programmes, non identifiés, prennent le relais. Ce cloisonnement (ouverture, renseignement, exploitation) souligne là encore l’habileté de ses concepteurs.
Source: liberation et rédaction
La famille du logiciel espion «Babar» vient de s’agrandir. Joan Calvet, chercheur de la société Eset, fondée en Slovaquie, a identifié un nouveau programme, baptisé «Casper», qu'il attribue, avec «un haut niveau de confiance», aux mêmes développeurs que
«Babar», d’après le rapport que Libération a pu consulter avant sa publication.«Babar» a un pedigree aussi fameux que mystérieux. Les services de renseignement canadiens, cités dans un document fourni par Edward Snowden, en attribuent la paternité – avec «une certitude modérée» – aux services secrets français. Le Monde, qui a révélé le document, soulignait qu’une telle assertion était en soi «assez rare dans un univers où la certitude absolue n’existe pas en matière d’attribution d’attaque informatique». Seule la direction générale de la sécurité extérieure (DGSE) mène ce genre d’actions offensives en France, le volet protection étant du ressort de l’agence nationale de sécurité des systèmes d’information.
«Une version mâture de Babar»
«Aucun signe ne pointe vers qui que ce soit», explique à Libération Joan Clavet, qui a analysé «Casper». Le chercheur se garde de confirmer ou d’infirmer l’hypothèse émise par les services de renseignement canadien. La DGSE, contactée par Libération, «ne commente pas ses activités réelles ou supposées». «Tout est neutre, très bien fait, en anglais, comme si Casper était une version mature de Babar [conçu en 2009, ndlr], dont les erreurs auraient été corrigées». Un faisceau d’indices rend crédible la piste française.
Ses similitudes avec «Babar», d’abord. «Plusieurs parties de code très spécifiques de Casper sont aussi dans Babar et Bunny [un autre programme de la même famille, récemment identifié]», indique Joan Calvet. Tous les trois portent d’ailleurs les noms de dessins animés, donnés par leurs concepteurs…
La cible du virus aussi intrigue: la Syrie. «Casper» a été installé en avril sur un site lié au gouvernement syrien. Le chercheur souligne que ses créateurs avaient «un intérêt vraisemblable pour la géopolitique». Les caractéristiques techniques du virus, et son extrême perfectionnement, laissent enfin penser que «les opérateurs de Casper appartiennent à une puissante organisation», capable de mener des opérations de «haut niveau».
Se taire plutôt que d’être découvert
Que fait «Casper»? C’est littéralement un programme espion fantôme: il récolte le plus discrètement possible des informations sur ses cibles, sans jamais dévoiler sa présence, puis transmet son rapport. En bon espion, il s’adapte à son environnement et préfère se taire – ne pas faire remonter de renseignements – qu’être découvert. Quitte, s’il le faut, à s’autodétruire.
Transposé dans un environnement informatique, «Casper» détecte la présence d’antivirus sur les machines infectées et se met, ou non, en branle en fonction de ce qu’il trouve. Mieux, «pour réaliser certaines actions "bruyantes", comme lire un fichier de la machine, Casper choisira une méthode différente en fonction de quel antivirus s’exécute sur l’ordinateur», détaille Joan Calvet.
Pour accéder aux ordinateurs, «Casper» utilise deux failles alors inconnues, appelées de «zero day», dans Flash. C’est ce qui permet en quelque sorte d’ouvrir les portes des ordinateurs cibles puis, dans un deuxième temps, de collecter les informations. Quant à ce qui est fait de ces informations, Eset n’en a pour l’instant aucune idée. D’autres programmes, non identifiés, prennent le relais. Ce cloisonnement (ouverture, renseignement, exploitation) souligne là encore l’habileté de ses concepteurs.
Source: liberation et rédaction
Comments
//