Depuis bientôt deux ans, l’actualité sur la sécurité est en partie monopolisée par les révélations successives contenues dans les documents dérobés par Edward Snowden à la NSA. Bien que les États-Unis soient en première position dans le renseignement et les armes informatiques, plusieurs signes pointent sur une France qui n’a rien à envier à l’Oncle Sam, sauf peut-être ses moyens colossaux.
Casper, ce charmant petit fantôme
En janvier, le renseignement canadien avait indiqué avoir trouvé un malware, nommé « Babar », particulièrement avancé et lié a priori soit à un groupe de pirates ayant des liens avec le gouvernement français, soit au gouvernement lui-même. L’information n’était pas étonnante, les cas de Stuxnet et Flame ayant montré que le soutien par les gouvernements était réel et permettait de déclencher des attaques précises et efficaces, notamment contre le programme nucléaire iranien. Edward Snowden avait par ailleurs abordé plusieurs fois le thème du renseignement et de l’espionnage, indiquant que les États-Unis étaient bien loin d’être les seuls à s’adonner à ces activités.
Selon un article de Motherboard concentrant plusieurs témoignages d’experts en sécurité, notamment de chez Kaspersky et ESET, un autre programme malveillant pourrait bien faire partie du cyber-arsenal de l’Hexagone. Nommé Casper, il agit comme un « premier implant que vous envoyez chez les victimes pour savoir qui elles sont » explique Costin Raiu, directeur de recherche chez Kaspersky. Selon les informations réunies par l’éditeur, Casper a notamment été trouvé sur le site officiel du ministère syrien de la Justice en avril 2014.
Deux failles 0-day du lecteur Flash exploitées sur un site officiel syrien
Ce constat a été fait par d’autres experts, notamment Joan Calvet de chez ESET. Il explique ainsi que Casper a été retrouvé caché dans un dossier, attendant qu’un utilisateur quelconque soit infecté, à travers par exemple un lien sur une page web. L’efficacité de Casper tient notamment à l’utilisation de deux failles de type 0-day dans le lecteur Flash d'Adobe. Or, ces failles sont rares selon les experts, et en exploiter deux simultanément laisse penser que le groupe à l’origine du malware dispose de moyens conséquents.
Quant à l’intérêt de Casper, il est assez simple : établir un profil aussi complet que possible de la victime. Le malware est capable de fournir de nombreuses informations techniques, et Calvet estime que les auteurs sont à même de savoir si le bilan de ces données permet de désigner une cible intéressante. Ajoutons que Casper était plus précisément sur le site qui permettait aux internautes syriens d’écrire des doléances au sujet du régime de Bachar el-Assad. Pour les experts, l’intérêt aurait donc été de réunir des informations sur tous ceux qui venaient rédiger des plaintes.
De l'implication de la France
Pour Costin Raiu, la situation est très claire : « Quand vous avez une opération d’une si grande ampleur, fonctionnant depuis des années et utilisant de multiples failles 0-day, sans pour autant qu’il y ait le moindre retour financier à la clé, il est évident qu’elle est soutenue par un État, elle l’est forcément ». Quant à lier l’opération, et donc Casper, à la France, il n’y a pas de certitude, seulement un faisceau de similitudes qui rapprochent le malware de Babar.
Casper et Babar, tous deux des références à des programmes pour enfants, seraient tous deux issus du même groupe de pirates, nommé « Animal Farm ». Selon ESET, Kaspersky et d’autres, le groupe est soit français, soit issu d’un pays francophone, à cause de certaines références trouvés dans le code. En outre, certains pans de code de Casper sont identiques à ceux retrouvés dans NBOT et Bunny, d’autres malwares qui seraient issus du groupe Animal Farm, de même que certains éléments de l’infrastructure de contrôle.
Nous avons contacté la DGSE (Direction Générale de la Sécurité Extérieure) afin de savoir si elle souhaitait réagir. Nicolas Wuest-Famôse, chargé de communication, nous a répondu : « Je comprends parfaitement votre demande, malheureusement, la DGSE, service de renseignement extérieur, ne peut s'exprimer sur ses activités, qu'elles soient réelles ou supposées ». Une réponse prévisible et similaire à celles de la NSA et du GCHQ anglais après des demandes identiques.
