Depuis bientôt deux ans, l’actualité sur la sécurité est en partie monopolisée par les révélations successives contenues dans les documents dérobés par Edward Snowden à la NSA. Bien que les États-Unis soient en première position dans le renseignement et les armes informatiques, plusieurs signes pointent sur une France qui n’a rien à envier à l’Oncle Sam, sauf peut-être ses moyens colossaux.
Casper, ce charmant petit fantôme
En janvier, le renseignement canadien avait indiqué avoir trouvé un malware, nommé « Babar », particulièrement avancé et lié a priori soit à un groupe de pirates ayant des liens avec le gouvernement français, soit au gouvernement lui-même. L’information n’était pas étonnante, les cas de Stuxnet et Flame ayant montré que le soutien par les gouvernements était réel et permettait de déclencher des attaques précises et efficaces, notamment contre le programme nucléaire iranien. Edward Snowden avait par ailleurs abordé plusieurs fois le thème du renseignement et de l’espionnage, indiquant que les États-Unis étaient bien loin d’être les seuls à s’adonner à ces activités.
Selon un article de Motherboard concentrant plusieurs témoignages d’experts en sécurité, notamment de chez Kaspersky et ESET, un autre programme malveillant pourrait bien faire partie du cyber-arsenal de l’Hexagone. Nommé Casper, il agit comme un « premier implant que vous envoyez chez les victimes pour savoir qui elles sont » explique Costin Raiu, directeur de recherche chez Kaspersky. Selon les informations réunies par l’éditeur, Casper a notamment été trouvé sur le site officiel du ministère syrien de la Justice en avril 2014.
Deux failles 0-day du lecteur Flash exploitées sur un site officiel syrien
Ce constat a été fait par d’autres experts, notamment Joan Calvet de chez ESET. Il explique ainsi que Casper a été retrouvé caché dans un dossier, attendant qu’un utilisateur quelconque soit infecté, à travers par exemple un lien sur une page web. L’efficacité de Casper tient notamment à l’utilisation de deux failles de type 0-day dans le lecteur Flash d'Adobe. Or, ces failles sont rares selon les experts, et en exploiter deux simultanément laisse penser que le groupe à l’origine du malware dispose de moyens conséquents.
Quant à l’intérêt de Casper, il est assez simple : établir un profil aussi complet que possible de la victime. Le malware est capable de fournir de nombreuses informations techniques, et Calvet estime que les auteurs sont à même de savoir si le bilan de ces données permet de désigner une cible intéressante. Ajoutons que Casper était plus précisément sur le site qui permettait aux internautes syriens d’écrire des doléances au sujet du régime de Bachar el-Assad. Pour les experts, l’intérêt aurait donc été de réunir des informations sur tous ceux qui venaient rédiger des plaintes.
De l'implication de la France
Pour Costin Raiu, la situation est très claire : « Quand vous avez une opération d’une si grande ampleur, fonctionnant depuis des années et utilisant de multiples failles 0-day, sans pour autant qu’il y ait le moindre retour financier à la clé, il est évident qu’elle est soutenue par un État, elle l’est forcément ». Quant à lier l’opération, et donc Casper, à la France, il n’y a pas de certitude, seulement un faisceau de similitudes qui rapprochent le malware de Babar.
Casper et Babar, tous deux des références à des programmes pour enfants, seraient tous deux issus du même groupe de pirates, nommé « Animal Farm ». Selon ESET, Kaspersky et d’autres, le groupe est soit français, soit issu d’un pays francophone, à cause de certaines références trouvés dans le code. En outre, certains pans de code de Casper sont identiques à ceux retrouvés dans NBOT et Bunny, d’autres malwares qui seraient issus du groupe Animal Farm, de même que certains éléments de l’infrastructure de contrôle.
Nous avons contacté la DGSE (Direction Générale de la Sécurité Extérieure) afin de savoir si elle souhaitait réagir. Nicolas Wuest-Famôse, chargé de communication, nous a répondu : « Je comprends parfaitement votre demande, malheureusement, la DGSE, service de renseignement extérieur, ne peut s'exprimer sur ses activités, qu'elles soient réelles ou supposées ». Une réponse prévisible et similaire à celles de la NSA et du GCHQ anglais après des demandes identiques.
Commentaires (87)
#1
Le sous titre " />
#2
Casper, le gentil fantôme malware " />
Allez, on fait les pronostics sur le nom du prochain malware souverain ? " />
#3
Casimir ?
#4
Pour l’instant, on a eut
Donc, un truc pour enfant français la prochaine fois. De préférence ancien. Ça élimine Minikeum ou Kirikou par exemple " />
#5
Zébulon ?, Flanby ?
#6
#7
J’y ai pensé " />
<hs>Purée, à chaque fois que j’entends Casimir je m’imagine la vidéo de Mozinor " /></hs>
#8
Pollux ?
#9
Ouioui ?
J’ai toujours du mal à imaginer les services français développer des trucs comme ça,, quand je vois les boites qui leurs fournissent certains softs et la qualité du code qu’ils acceptent d’utiliser.
#10
On voit où sont les priorités " />
#11
Oui Oui est un bouffeur de gelée ! " /> (Noddy en anglais - to nod étant acquiescer)
#12
Nounours." /> (Hollande lui ressemble un peu niveau poids) " />
#13
Le malware qui endort la sécurité " />
#14
#15
Marrant quand les US font ca vous etes les premiers à gueuler et la… Rien a foutre ?
Paille poutre..
#16
Au moins, ils ne donnent pas des noms abscons aux malwares, c’est déjà ça.
Après, la seule chose qui serait étonnant, ça serait que la DGSE n’ait pas développé de tels objets logiciels pour ses propres besoins…
#17
Sinon cela montre que contrairement à ce que pense certains INpactiens, la France n’est pas en reste sur les nouvelles technologies.
Vive la France,
Vive le Général " />
#18
En technologie on à un bon niveau, c’est au niveau export que c’est mou par rapport à certain pays.
#19
Pour vendre des technos de flicage à des gentils dictateurs, “on” est plutôt bon (Amesys & co)
#20
Il y a bien Totally Spied qui est un dessin animé français, mais ça pourrait être du taunt " />
#21
#22
#23
Super Ted ? (oui je vais au fond du fond de mon enfance… en toute amitié)
#24
Ça ne flique pas un Rafale, ça disperse façon puzzle " />
#25
Vouloir que les services de renseignements américains respecte la constitution des USA, que les USA respectent le droit international ce n’est pas antiaméricain, c’est même pro américain et cela n’a rien de primaire.
#26
#27
Pourtant Assange disait l’autre jour, si je ne m’abuse, que nous étions des buses
#28
Ca me fait toujours rire les annonces de sociétés anti-virus qui pointe du doigt un pays, sur le seul indice des noms de variables qui aurait rapport avec une langue, des emissions de TV, ou je ne sais quoi encore… La totalité des malwares pourrait être lapon qu’ils contineraient à dire qu’un tel est français, l’autre russe et le dernier chinois.
Bon après il est évident que notre gouvernement n’est pas resté assie toutes ces années et s’est vraisemblablement consituté un arsenal, et en a probable déjà utilisé une partie, mais dire que tel virus qui a attaqué tel cible vient de tel pays est complètement idiot.
Il n’y a que la NSA qui peut eventuellement savoir la provenance des flux et virus grace à son noyautage des noeux de réseau, mais c’est bien les seuls…
#29
En tout cas le petit clin d’oeil à Orwell fait plaisir, l’exception culturelle française surement. " />
#30
L’efficacité de Casper tient notamment à l’utilisation de deux failles de type 0-day dans le lecteur Flash d’Adobe. Or, ces failles sont rares selon les experts, et en exploiter deux simultanément laisse penser que le groupe à l’origine du malware dispose de moyens conséquents.
C’est çà le problème, le logiciel est tellement troué que c’est difficile de trouver un trou rien que pour son utilisation personnel " /> , alors deux çà tient du squattage " />
#31
J’ai tiqué aussi le la juxtaposition “faille 0 day Flash” et “ces failles sont rares selon les experts”. " />
Les “experts” ne sont pas sur NXI pour voir les news sur les MAJ de Flash ?
#32
J’ai aucun pouvoir de sorcier. J’ai raté mes buse." />
#33
#34
#35
Si je comprend bien chez nous (enfin peut-être) ont fait des malware pour aider les gens !!!
" />" />
#36
Moldu " />
#37
La différence entre les services secrets français et américains ça resta quand même que certains utilisent des failles existantes, d’autres les créent de toutes pièces pour leurs propres besoin => En gros à la NSA ce sont des nuls, ils ne sont pas capable de détecter des failles pour les exploiter. Je suis rassuré, je n’ai plus peur pour ma vie privée, et Snowden devrait être innocenté des charges de trahisons qui pèsent sur lui car il n’a fait que révéler la médiocrité des agents américains, il est donc un bon américain qui veut aider son pays.
" />
#38
Un jour à la tv, j’avais entendu un responsable de la DGSE je crois dire que la France avait des installations en matière de renseignements très avancées et qu’elle n’avait absolument pas à rougir des moyens déployées par les USA. Bien sûr, il n’en a pas dit plus, coup de bluff ? Pas sûr. " />
#39
Bah justement, les failles 0-day qui restent longtemps non découverte sous Flash, il n’y en a que très peu vu l’exposition du player et la vigilance des boites de sécu qui surveille de près ce composant pour leurs clients.
#40
La prochaine fois Galli l’alligator
www.youtube.com/watch?v=_XbkwbaRdk4
#41
#42
Suffit de demander au CSI: Cyber d’enquêter, ils sont de sorti sur la toile, ou à l’équipe de Scorpion." />" />
#43
“Pendant longtemps, la France a également disposée d’un régime de surveillance agressif, que ce soit à l’intérieur du territoire français ou à l’extérieur, mais ce système est resté insignifiant par comparaison aux régimes de surveillance mis en place par le Royaume Unis ou les Etats Unis.”
Assange
#44
J’ai vu le premier episode de CSI: Cyber, et ba, pour le premier episode, pas trouver ca si cyber que ca, et pas terrible.
Scorpion, pas vu par contre.
[/HS]
#45
Inspecteur Gadget !
#46
CSI: Cyber pas vu encore, scorpion se laisse regarder(en vostfr j’aime bien, en vf trouve les voix un poil décalé par rapport aux personnage mais assez bien doublé, avis perso).
#47
#48
Casper, c’est pas un nom très fraaôônçais, ça.
#49
A ghost in the shell
#50
#51
#52
« Selon ESET, Kaspersky et d’autres, le groupe est soit français, soit issu d’un pays francophone, à cause de certaines références trouvés dans le code. »
Bonjour - Baguette - © France-Malware.gouv - Label PUR
" />
#53
#54
Ok" />
Je regarde directement sur le site de CBS " /> Pas besoin de telecharger, par contre il y a les pubs americaines a foison
#55
#56
Totally spies stp, massacre pas mon enfance " />
#57
Leguman ?
https://www.youtube.com/watch?v=gCXf4MvMW9c
Le Gluon du placard ?
http://telechatonline.canalblog.com/archives/2007/05/24/5057137.html
#58
A-t-on le nom des failles 0-day de Flash ? Sont-elles colmatées ?
#59
#60
Faire du flicage avec un Rafale ???
Je n’ai jamais vu un flic utiliser un AASM sur des manifestants…
#61
Selon Le Monde, il y a aussi un programme avec un nom Occitan, donc clairement la France avec celui-là:
Le programme nommé Tafacalou, qui pourrait être une traduction de « ça va chauffer » ou « pour réchauffer » en occitan, est un logiciel de reconnaissance destiné à repérer des cibles. Ce fonctionnement est similaire à celui de Casper, qui semble cependant être plus récent. Si les attaquants estiment qu’un ordinateur infecté par Tafacalou est intéressant, ils y injectent Dino ou Babar.
En savoir plus surhttp://www.lemonde.fr/pixels/article/2015/03/06/la-ferme-des-animaux-concepteurs…
#62
Tout est question de portée.
Les outils d’Amesys sont fait pour surveiller sa population sur Internet, le Rafale pour surveiller ses voisins et y intervenir au besoin.
#63
Une réponse prévisible et similaire à celles de la NSA et du GCHQ anglais après des demandes similaires.
Je comprends le besoin de poser la question, mais la réponse était plus que prévisible : il ne peut décemment pas en donner une autre.
#64
Dans dominion tank police les gros calibre pour les flics sont assez courant, je concède que c’est un anime." />
#65
" />
Désolé c’est nerveux. Filer un nom aussi spécifique et identifiable (de l’occitan quoi), c’est limite une faute professionnelle. Les noms ricains (Flame, Stuxnet), ont au moins de le mérite de faire “nom de virus lamba”)
Le prochain virus, ça sera Kénavo du coup ? " />
#66
#67
Crêpe Suzette, le maliciel qui fait flamber le système INfecté " />
#68
C’était une adaptation au contexte :)
#69
#70
#71
#72
En même temps qui pourrait croire le contraire ?
#73
Et le Québécois de souligner, toujours dans son rapport, que Casper est alors soupçonné d’être contrôlé par les services de renseignements français (DGSE), mais surtout, que le logiciel est hébergé sur un serveur appartenant au ministère de la Justice, toujours accessible aujourd’hui.
Source : 20minutesJe n’ai pas vu cette info ailleurs, ni trouver le lien, mais ça ressemble à une preuve que le gouvernement ne peut pas démentir.
#74
#75
Faut bien qu’ils aient un pass pour passer les contrôles." />
#76
#77
Caspersky.
Maintenant, je me souviens il y a deux ans de quelqu’un qui me parlait déjà du virus Casper. Parlait-il de celui de 1990 (http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=98212 ) ou bien avait-il accès à des informations classifiées ? Je n’ai pas gardé contact avec lui.
#78
#79
#80
Les chèvres du Pentagone sont françaises en définitive…
=======>" />
#81
Alors pourquoi la justice fait elle toujours du blocage avec un niveau technique bien moindre (DNS) ? " />
C’est incohérent avec le reste.
#82
J’utilise l’extension hola pour firefox, puis directement sur cbs.com (marche depuis l’Angleterre). Donc oui ce ne doit pas etre 100% legal car je zappe les restrictions geographiques, mais je vois les pubs (enervants), mais si ca permet de contribuer un peu je trouve que ca va. Et pendant les pubs je vais sur d’autres onglets pour lire un truc, puis je reviens. Par contre on ne peut pas faire avance rapide, il faut regarder d’une traite. Il existe une version payante de CBS, mais pas essaye.
#83
Il y à une convention de journaliste adepte du drone en France?" />" />
http://www.20minutes.fr/paris/1556895-20150306-survols-drones-quatre-journaliste…
Cela commence à faire beaucoup." />
#84
#85
#86
Snowden, Manning et Assange sont des Patriotes du Monde !
Il faudrait vraiment leur décerner en commun le Prix Nobel de la Paix.
Les qualifier de “traitres” est une insulte à l’attention de tous les habitants un peu civilisés de la planète Terre et démontre la caractère totalitaire de certains intervenants.
Just my two cents.
#87
Heu.. non.
Le prix Nobel de la Paix, doit être attribué à titre préliminaire aux Obama BinHussein de tout poil qui fliquent la population mondiale en dehors de tout cadre légal/sous la “surveillance” d’un tribunal fantôme. " />