Espionnage, renseignement : quand les virus made in France inondent le monde

16/07/2015 – 07h00 Paris (Breizh-info.com) –En France, on aime bien dénoncer le cyber-espionnage quand il est pratiqué par les Russes, les Chinois ou les Américains. C’est oublier que les Français en sont aussi friands. Ainsi, les spécialistes de la compagnie américano-slovaque ESET ont détecté un nouveau virus français répondant au doux nom de Dino, annonce le site russe Vesti.

Ce Dino est un backdoor (porte dérobée) complexe codé en C++ qui permet notamment de soustraire de l’information et de l’expédier sur un serveur éloigné ; selon les experts d’ESET ce virus a été installé par un autre logiciel du type cheval de troie. Parmi les victimes de ce virus l’on trouve le ministère des Affaires étrangères de l’Iran, l’université iranienne de sciences et de technologies, l’organisation de l’énergie nucléaire de l’Iran et d’autres organisations officielles iraniennes.

Selon l’agence nationale de sécurisation des données canadienne, Communications Security Establishment (CSE) le virus Dino, comme ses prédécesseurs Casper, Bunny ou encore Babar, st la création du groupe de hackers Animal Farm qui dépend des services secrets français (DGSE) : «  Nous estimons, avec un degré modéré de certitude, qu’il s’agit d’une opération sur les réseaux informatiques soutenue par un Etat et mis en œuvre par une agence française de renseignement», écrivent les experts canadiens. Il s’agirait de la DGSE, qui dispose d’un groupe de hackers au fort de Romainville.

En 2009 déjà, les services secrets français avaient commencé – selon Edward Snowden – en 2009 une vaste opération de piratage, sur la base d’un « implant espion » particulièrement sophistiqué ; les services secrets canadiens l’avaient découvert les premiers et l’avaient baptisé Snowglobe. Ce logiciel avait pour but la « collecte de courriers provenant de comptes spécifiques et ciblés » et a touché là encore plusieurs cibles iraniennes, mais aussi en Côte d’Ivoire, en Algérie, en Espagne, en Grèce et en Norvège. Il a aussi été repéré en France – bien que la DGSE soit cantonnée aux opérations extérieures.

Animal Farm s’est aussi fait connaître pour d’autres virus, notamment Casper, un logiciel espion lancé en 2014 qui remplit des fonctions d’éclaireur ; en utilisant deux failles zéroday dans Flash, il s’installe sur une machine et transmet un rapport complet : antivirus et pare-feu installés, informations système, processus actifs, configuration… Ces informations sont utiles pour préparer la suite de l’attaque. Casper a été détecté notamment sur des sites d’organisations gouvernementales syriennes.

Il existe aussi depuis 2011 Babar, et sa modification ultérieure Evilbunny. Ces logiciels permettent d’intercepter les frappes de clavier, de prendre des copies d’écran, de récupérer le contenu du presse-papier et, surtout, d’enregistrer les flux audio de messageries telles que Skype, MSN, Google Talk, Yahoo Messenger, Oovoo, Nimbuzz ou X-Lite. Ces espions s’insérent tout simplement dans des processus existants. « Ce n’est pas comparable à Regin ou aux logiciels d’Equation Group. Il est plus léger, plus rudimentaire. C’est clairement une gamme en dessous. Deux personnes à temps plein suffisent pour développer cela en quelques mois », écrivent Joan Calvet (Eset Security) et Marion Marschalek (Cyphort) dans un rapport commun sur le virus.

Un autre virus tire son nom d’une expression occitane – Tacafalou (Ta fa calou = ça va chauffer), lancé en 2012. C’est un malware d’espionnage comme Casper, qui a touché des milliers de cibles principalement en Syrie (200), en Iran (180) et en Malaisie (115). Mais aussi aux Etats-Unis, en Chine, en Turquie, en Hollande, en Allemagne, en Grande-Bretagne, en Russie, en Suède, en Autriche, en Algérie, en Israël, en Irak, au Maroc, en Nouvelle-Zélande ou encore en Ukraine. Le dernier virus du groupe français – ou plutôt le premier, est Nbot, de type botnet, avec des fonctionnalités de D-Dos, développé en 2010.

Crédit photo : DR
[cc] Breizh-info.com, 2015, dépêches libres de copie et diffusion sous réserve de mention de la source d’origine.