Cyber-espionnage : Après « Babar », la France soupçonnée d'être à l’origine d'autres malwares
Cyber-espionnage : Après « Babar », la France soupçonnée d'être à l’origine d'autres malwares
selon les analyses de plusieurs firmes de sécurité
Des analyses des firmes de sécurité Cyphort Labs, ESET et Kaspersky Labs semblent établir un rapprochement entre les services de renseignements français et des logiciels espions dont certains ont été en activité depuis 2009.
Tout a commencé avec un document issu des fuites de fichiers d'Edward Snowden. Publié en janvier dernier par le média allemand Der Spiegel, il s'agit d'une présentation du Communications Security Establishment Canada (CSEC) à ses partenaires des Five Eyes. Le CSEC décrit une activité malveillante qu’il attribue à la France, avec comme acteur, un malware nommé Babar.
Le mois dernier, des chercheurs de Cyphort ont identifié et analysé un cheval de Troie du nom de Babar64, capable d'enregistrer les frappes de clavier, des captures d'écran, des flux audio à partir d'applications VoIP, entre autres.
De Babar (tel que présenté par les documents de Snowden) à Babar64, le logiciel espion analysé par Cyphort Labs, il s'agirait probablement du même malware. Et si c'est le cas, la France serait encore à l'origine d'un autre malware, baptisé Bunny, précédemment révélé par la firme de sécurité. Cyphort Labs a découvert des similitudes entre les deux malwares. « Nous supposons que le même auteur est derrière les deux familles », a-t-il dit dans un billet de blog.
Le soupçon porté sur les services de renseignement français pourrait se justifier par la présentation du CSEC qui décrit les victimes de Babar comme des cibles d'intérêt pour le pays. On note particulièrement les organisations des médias francophones et des organisations dans les anciennes colonies françaises telles que l'Algérie et la Côte d'Ivoire.
En plus du fait que le nom Babar désigne un célèbre personnage français de livre pour enfants, le CSEC fait remarquer que le surnom du développeur du programme est « Titi », un diminutif français de Thierry. L'utilisation de « kilo-octet » au lieu de « kilo-byte » et l'option de langue « fr_FR » viennent encore alourdir les soupçons, en faisant immédiatement penser à des programmeurs francophones.
Après Babar et Bunny, des chercheurs en sécurité de la firme ESET ont publié un rapport sur un autre cheval de Troie qui aurait des liens avec ces deux derniers. Ils l'ont surnommé Casper. « Nous sommes confiants que le même groupe a développé Bunny, Babar et Casper », ont déclaré les chercheurs d'ESET dans un billet de blog.
Toutefois, Casper ne contenait aucun indice qui laisserait penser qu'il a été développé par des Français.
Jamais deux sans trois. Kaspersky Labs, la firme de sécurité basée à Moscou, a par la suite présenté un rapport sur trois autres programmes malveillants appelés Dino, Nbot et Tafacalou. Ils soutiennent que ces malwares auraient été créés par le même groupe que Bunny, Babar et Casper. Surnommé « Animal Farm », le groupe à l'origine de ces programmes serait actif depuis au moins 2009 selon les chercheurs de Kaspersky. Ils notent aussi que le groupe vise des organisations gouvernementales, des cibles militaires, des organisations d'aide humanitaire, des entreprises privées, des militants, des journalistes et des organisations de médias.
Bien que ces derniers n'attribuent pas les logiciels espions à une agence de renseignement spécifique, ils soulignent que Tafacalou serait d'origine française.
Sources : ESET, Kaspersky Labs
Et vous?
Qu'en pensez-vous? La France se serait-elle à l'origine de ces logiciels d'espionnage?
Répondre avec citation
Envoyé par VBrice
Partager