Projet Sauron, le logiciel qui espionne gouvernements et États depuis cinq ans

Entre dans la Zone 42
Tu as quelques minutes à perdre ? Alors entre dans la Zone 42, lieu de perdition (de ton temps) où mèmes, personnages Geek, lolcats et humour te rendent addict jusqu'à la moelle. Alors viens, on est bien !

Bon à Savoir
Envie de te coucher plus cultivé que quand tu t'es levé ? Alors viens découvrir une sélection d'informations dont tu n'imaginais même pas l'existence dans tes rêves les plus fous. Tout est Bon à savoir !

De Clément Bartholomé - Posté le 11 août 2016 à 17h35 dans Informatique

Kaspersky l'appelle "Projet Sauron", car ses lignes de code font référence à l’antagoniste ultime de la saga Le Seigneur des Anneaux. La société Symantec l'a quant à elle baptisé "Remsec". Lui, c'est le logiciel espion découvert par les deux spécialistes en sécurité informatique. Les deux entreprises ont publié chacune un communiqué faisant état de ce logiciel malveillant introduit dans les systèmes d'au moins une trentaine d'institutions de plusieurs pays à travers le monde, et ce depuis 5 ans.

Chargement de la vidéo… (voir sur Dailymotion)

Une malveillance sophistiquée... découverte grâce au hasard

Si l'on en croit Kaspersky, il ne s'agit pas d'une découverte mineure : "nous sommes certains que ce n’est que le sommet de l’iceberg". Parmi les pays dont les systèmes (militaires, financiers, gouvernementaux...) ont été infectés figurent pour le moment la Russie, la Chine, la Belgique, l'Iran mais aussi le Rwanda ou encore la Suède.

C'est en septembre 2015 qu'a été détecté pour la première fois ce logiciel espion, dans "un réseau appartenant à une institution publique", cette dernière s'étant inquiétée d'un niveau de trafic inhabituel. Son mode de fonctionnement ? Grâce à une porte dérobée installée au sein des systèmes cibles, le malware permet de récupérer des clés de chiffrement, des fichiers sensibles, des mots de passe et d’avoir l’œil sur toute l’activité réalisée sur les systèmes infectés.

Il est également équipé d’un module de persistance qui lui permet d’outrepasser les systèmes de sécurité des organisations attaquées : dès qu’un utilisateur ou un administrateur se connecte ou change son mot de passe, le malware réussit à récolter les informations adéquates sous la forme d’un banal fichier texte.

sauron

Comment Projet Sauron a-t-il pu passer inaperçu pendant autant d'années ? En réalité, il a été conçu pour se fondre dans la masse et passer pour un fichier sain. Sa structure est différente par rapport aux virus du même type et une version unique aurait été conçue pour chaque organisme ciblé. Selon Kaspersky, "Sauron ne s'appuie sur aucun modèle précédent et personnalise son infrastructure. Cette approche permet au malware d'espionner au long terme".

Un État impliqué... mais lequel ?

Il est peu probable qu'un pirate installé tranquillement dans sa cave soit à l'origine de Projet Sauron. La société russe note que l’acteur "expérimenté" derrière cette plateforme de cyber-espionnage a déployé des "efforts considérables" dans l’apprentissage des techniques d’autres acteurs dans le milieu du piratage et du malware, tout en les améliorant.

Tous ces éléments pointent dans une seule et même direction : "Le coût, la complexité, la persistance et l’objectif de l’opération, à savoir voler des données confidentielles et secrètes d’institutions publiques sensibles, suggèrent l’implication ou le soutien d’un État", assure ainsi Kaspersky.

Il est toutefois difficile de pointer du doigt un État en particulier, sachant qu'il y en a plus d'un qui sont susceptibles d'être intéressés par des données sensibles russes ou iraniennes. Le problème paraît "insoluble" au regard des multiples écrans de fumée laissés derrière lui.

Une erreur ?

Source(s) : BBC News Symantec Kaspersky