Le CCC dissèque un cheval de Troie gouvernemental troué

Opération Hacker ouvert 65
Par
le lundi 10 octobre 2011 à 10:25
Marc Rees
Le Chaos Computer Club (CCC) affirme avoir, par rétro-ingénierie, mis la main sur un « malware » fédéral utilisé par la police allemande. Selon le célèbre groupe de hackers, le logiciel en question peut non seulement explorer les données « mais également offrir un contrôle distant et des fonctionnalités de porte dérobée pour le téléchargement et l’exécution arbitraire des programmes ». Autre problème, soutient le CCC, un bug de conception ouvre les manettes de ce malware à tous.

ccc perquisition cheval de troie allemagne 

Ce cheval de Troie gouvernemental avait été conçu initialement pour l’écoute de la seule téléphonie sur internet (VoIP). De fait, le logiciel en question dissimulerait une solution nettement plus musclée : elle permettrait d’exécuter des logiciels à distance, voire être activée via le microphone ou une caméra pour surveiller une pièce donnée.

Un cheval, des failles

Il y a plus grave. Des failles internes à ce logiciel permettraient à des tiers d’utiliser ces fonctionnalités pour, c’est un exemple, falsifier des preuves contre le propriétaire ou supprimer des fichiers à distance. « Ce qui met en question cette méthode d’investigation » oppose le CCC. Autre couac : gérées depuis un serveur aux États-Unis, les données envoyées par ce logiciel ne sont pas suffisamment chiffrées. Quant aux commandes envoyées au cheval de Troie fédéral, elles ne le sont tout simplement pas. « Le CCC n'a pas encore effectué de test de pénétration sur la partie serveur de cette infrastructure » poursuit l’organisation pour qui « le niveau de sécurité de ce cheval de Troie des systèmes infectés revient à mettre tous les mots de passe en '1234 ' ».

Le CCC, qui a pris soin d’alerter le gouvernement conformément à ses principes éthiques, est même allé plus loin pour écrire son propre terminal de contrôle afin de contrôler à distance les ordinateurs infectés. « Avec son aide, il est possible de regarder les copies d’écran du navigateur internet sur l’ordinateur infecté, ce qui inclut les commentaires privés, les emails, ou les textes tapés dans les services clouds ».

ccc perquisition cheval de troie allemagne

Pour le groupe de hackers, ces infiltrations clandestines doivent en tout cas cesser. Elle fait déjà appel à tous pour approfondir la dissection de ce dispositif afin qu’« au moins quelques avantages soient tirés de cette tentative d'écoute embarrassante ». Selon le CCC, enfin, il devient urgent d’inclure ordinateurs et autres moyens de communication dans le cœur de la vie privée, noyau dur surprotégé dans le droit allemand.

L'arrêt fondateur en Allemagne

Le 27 février 2008, la Cour constitutionnelle allemande avait encadré l’utilisation de ces outils. Alors que le Land de Rhénanie-du Nord Westphalie souhaitait autoriser ce type d’ « intelligence », le juge constitutionnel (Bundesverfassungsgericht) se pencha sur ces perquisitions ou fouille en ligne pour constater l’atteinte à un nouveau droit fondamental, le droit à la protection de « la confidentialité et l’intégrité des systèmes d’information technologiques ».

Dans le même temps, la Cour posa que des atteintes puissent être portées à ce droit fondamental, qui n’est pas absolu, mais uniquement si des circonstances exceptionnelles (atteinte à la vie, à la sécurité de l’État) sont constatées par un juge ou par une « instance indépendante et neutre ». Cette note explicative nous apprend que « si ces conditions sévères sont remplies, des perquisitions en ligne peuvent avoir lieu, mais seulement si des mesures efficaces ont été mises en place pour que le noyau dur de la vie privée, qui comprend par exemple les sentiments et les relations intimes, soit protégé. Cette protection doit comporter des mesures techniques qui ont pour but d’éviter la collecte de données au sujet de ce Kernbereich (noyau dur, ndlr) de la vie privée ».

La situation en France : la LOPPSI 2

En France, la loppsi 2 publiée au JO le 14 mars 2011, a inséré dans notre droit plusieurs articles autorisant ce genre de chevaux de Troie.

Ils sont autorisés pour les enquêtes en matière de criminalité et délinquance organisées, par le juge d’instruction sur décision motivée. Avec ce feu vert, les OPJ et agents de police judiciaire peuvent alors placer un dispositif technique sans le consentement des intéressés dans n’importe quel lieu privé et même dans un véhicule (et même sur un téléphone). Ce cheval de Troie bleu blanc rouge peut alors permettre « d'accéder (…) à des données informatiques » mais aussi « les enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères. »

La postures des éditeurs antivirus

De son côté, LinuxFR souligne que « l'antivirus libre ClamAv reconnaît mfc42ul.dll comme Trojan.BTroj-1 et winsys32.sys comme Trojan.BTroj. » F-Secure confirme que ce backdoor – une DLL et un fichier .sys sait prendre des screenshots et des enregistrements audio de Skype. Il contient un keylogger qui cible Firefox, Skype, MSN Messenger, ICQ et d’autres logiciels.

Une mention importante qui souligne la délicate posture des solutions antivirales face à ces chevaux de Troie chapeautés d’un gyrophare.

Une collaboration nécessaire entre Etat et éditeurs...

Avant le vote de la LOPPSI, interrogé sur la collaboration entre l’État et les éditeurs de solutions Antivirus, Christian Aghroum, chef de l’ OCLCTIC nous avait simplement dit dans une interview « travailler dessus. Cela relève du secret d’enquête, on ne peut entrer dans les détails ». Pour ce responsable, « la seule chose qui est importante à comprendre est qu’on a besoin de ces outils là pour lutter contre le terrorisme. On n’a jamais demandé à ce que ce soit étendu à d’autres choses, ce sont des outils modernes pour lutter contre une criminalité professionnelle et particulièrement mobile, bien équipée, toujours au fait et à la pointe de la technologie. Il s’agit de disposer d’outils à armes égales pour pouvoir lutter contre ces bandes organisées qui relèvent du haut niveau. Cela ne concerne pas la délinquance du quotidien. »

La LOPPSI 2 précise toutefois que le fait que ces mouchards officiels « révèlent des infractions autres que celles visées dans ces décisions ne constitue pas une cause de nullité des procédures incidentes. »