Annonce du mois de novembre par Symantec[1]
de la découverte d’un nouveau malware : Regin. Ce cheval de Troie,
visiblement actif depuis 2008, serait, selon le site The Interceipt, l’œuvre d’agences
de renseignement américaines et du GCHQ. Le malware collecte des données (« malware
avancé pour espionnage de masse »[2])
et prend l’apparence d’applications Microsoft légitimes. D’après les
statistiques de Symantec ses cibles sont réparties à 28% en Russie, 24% en
Arabie Saoudite, puis 9% au Mexique, 9% en Irlande, 5% en Inde, 5% en
Afghanistan, 5% en Iran, 5% en Belgique, 5% en Autriche, 5% au Pakistan. La
seule liste de ces Etats ne permet pas véritablement d’appréhender une
stratégie qui sous-tendrait la propagation du malware. L’essentiel des cibles
est constitué d’individus privés, de petites entreprises (48%). Les sociétés de
télécom viennent ensuite, avec 28%. Le site The Intercept affirme que le
malware a été utilisé pour espionner l’Union Européenne et Belgacom, entreprise
belge de télécommunications[3].
Ces opérations d’espionnage avaient été révélées par Edward Snowden en 2013
(sans que ne soit alors mentionné le malware Regit).
Comme c’est le cas lors de l’annonce
de la découverte de malwares importants, les arguments développés par les
médias, les commentateurs et autres experts, sont identiques :
- La complexité du malware : impliquerait que seul un Etat soit en mesure de l’avoir développé
- Les ressources nécessaires au développement auraient été importantes, de sorte que là encore seul un Etat pourrait se trouver derrière l’affaire
- La divulgation est faite par une grande entreprise de cybersécurité (ici Symantec) et autres medias de forte notoriété (dans ce cas, le site The Interceipt[4])
- Le virus est discret, son code complexe, son mode de fonctionnement encore partiellement inconnu
- Les véritables auteurs ne sont pas connus : seules des hypothèses sont avancées
- Le malware a fait l’objet de plusieurs versions, déployées en plusieurs vagues (ici une première version de 2008 à 2011, puis une seconde à compter de 2013)
- Le malware a été identifié sous des versions antérieures bien avant la divulgation médiatisée (il était question pour Stuxnet également de plusieurs versions du malware)
- Si les malwares sont l’œuvre des agences de renseignement, alors il ne faut attendre de ces dernières aucune information, précision, confirmation. Fidèles à leur fonction, les agences ne s’expriment pas sur leurs actions. Tout au plus affirment-elles agir dans le strict respect du droit[5]. Le doute plane donc toujours quant à l’identité des auteurs et leurs véritables objectifs.
- Les commentaires peuvent enfin s’intéresser à l’origine du nom attribué au malware, ou aux liens que peut entretenir le code avec la mythologie, l’histoire, la légende. Regit pour sa part évoquerait la mythologie nordique. Stuxnet lui, enfermait dans son code des références bibliques, selon certains experts (en raison de la présence d’un fichier nommé Myrtus[6]).
Regin s’inscrit dans la
chronologie de ces malwares qui prennent naissance dans l’après-Estonie (2007),
période au cours de laquelle les opérations se multiplient, qu’il s’agisse de
tentatives de sabotage (Stuxnet, Shamoon…) ou d’espionnage. L’histoire de la
cybersécurité/défense, ou plutôt de la cyber-insécurité s’étoffe, est complétée
de nouveaux éléments, de nouvelles pièces d’un puzzle qui se constitue au fil
des ans, au rythme des diverses découvertes et révélations. Ce récit est celui
d’un système international qui se construit - mais cela n’est pas nouveau - autour
des opérations masquées, et qui teste encore et toujours les possibilités
offertes par le cyberespace, ses limites et celles des acteurs qui sont
victimes des actions. L’opération menée autour de
Regit, si elle est bien étatique, n’est finalement qu’une de plus parmi d’autres,
ajoutant à la panoplie des instruments et pratiques mise en lumière ces
dernières années.
[1] http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
[2] http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/malware-logiciel-malveillant/actualite-740863-regin-malware-avance-oeuvre-6-ans.html
[3] https://firstlook.org/theintercept/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/
[4] https://firstlook.org/theintercept/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/
[5] https://firstlook.org/theintercept/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/
[6] https://publicintelligence.net/stuxnet-virus-contains-biblical-reference/
No comments:
Post a Comment