ProjectSauron, le logiciel-espion d’Etat dissimulé depuis cinq ans
ProjectSauron, le logiciel-espion d’Etat dissimulé depuis cinq ans
Ce « malware » très sophistiqué permet de dérober des fichiers, des mots de passe et des clés de chiffrement. Il s’en prend à des institutions publiques sensibles.
Le logiciel-espion ProjectSauron existe depuis au moins 2011. | QUENTIN HUGON / Le Monde
C’est un logiciel malveillant très sophistiqué qu’ont détecté les entreprises de sécurité informatique Symantec et Kaspersky. Dans des rapports publiés respectivement dimanche 7 et lundi 8 août, elles font chacune de leur côté état d’une découverte hors du commun : celle d’un logiciel-espion présent dans des systèmes informatiques sensibles d’une trentaine d’institutions dans plusieurs pays du monde, depuis au moins cinq ans. Des institutions gouvernementales, scientifiques, militaires, télécoms et financières ont été touchées, dans des pays comme la Belgique, la Russie, l’Iran, la Chine, le Rwanda ou encore la Suède. « Mais nous sommes certains que ce n’est que le sommet de l’iceberg », soulignent les chercheurs de Kaspersky dans leur rapport.
L’entreprise explique l’avoir détecté en septembre dernier dans « un réseau appartenant à une institution publique », après avoir été contactée pour enquêter sur des anomalies. Ce logiciel, actif depuis au moins 2011, installe une porte dérobée sur les machines concernées et permet ainsi aux pirates d’espionner leur activité, mais aussi de voler des fichiers, des mots de passe et des clés de chiffrement. Kaspersky le nomme « ProjectSauron », car ses lignes de code contiennent des références à Sauron, l’antagoniste principal du Seigneur des anneaux, qui apparaît sous la forme d’un œil gigantesque capable de tout voir. Symantec, de son côté, l’appelle « Remsec ».
« Implication d’un Etat »
S’il a pu passer inaperçu aussi longtemps, c’est que ce « malware », dissimulé dans des fichiers à l’apparence banale, est conçu de façon très différente des autres logiciels de ce type. « Les pirates ont clairement compris que nous, les chercheurs en sécurité informatique, sommes toujours à la recherche de comportements répétitifs, indique Kaspersky. Supprimez-les et l’opération sera bien plus difficile à découvrir. » Les créateurs de ce logiciel ont en fait « personnalisé son infrastructure pour chaque cible », ce qui fait que les traces et les indices laissés par ProjectSauron diffèrent d’un système à l’autre.
Kaspersky explique également que ce logiciel est capable de dérober des informations sur des ordinateurs non connectés à Internet – ceux qui contiennent généralement les informations les plus sensibles – grâce à une clé USB infectée, permettant d’aspirer des données discrètement.
Qui est à l’origine de ce malware ? Pour Kaspersky, cela ne fait aucun doute :
« Le coût, la complexité, la persistance et l’objectif de l’opération, à savoir voler des données confidentielles et secrètes d’institutions publiques sensibles, suggère l’implication ou le soutien d’un Etat. »
Même analyse du côté de Symantec, qui estime que « ses cibles ont été principalement des organisations ou des invidus qui pourraient intéresser des services de renseigement ». Aucune des deux entreprises ne se risque toutefois à suggérer de quel Etat il pourrait s’agir.