France : La DGSE impliquée dans un cyber-espionnage mondial


Vous vous en doutiez, les Etats unis n'ont pas le monopole de l'espionnage malgré l'hyper médiatisation de l'affaire Prism mise au grand jour grâce à Edward Snowden. Ceci expliquant également le profil bas adopté par l'hexagone après un soubresaut d'indignation hypocrite de nos dirigeants, laissant place peu de temps après à une indifférence générale de leur part qui en disait long.

La ou cela devient assez troublant, c'est quand on constate certaines similitudes concernant les « cibles » entre le programme espion français (Babar alias Snowball) et son homologue américain (Stuxnet/Flame), à savoir entre autre le programme nucléaire Iranien... Il semble que la coopération entre la France et les Etats unis aillent bien au delà de ce que l'on soupçonnait. Le veilleur

C'est une véritable traque qu'ont menée les services secrets techniques canadiens du Centre de la sécurité des télécommunications du Canada (CSEC). Elle est relatée dans le document fourni au Monde par Edward Snowden, dans lequel ils présentent leurs trouvailles. Avare en détails, ce document permet néanmoins de retracer l'enquête qui a permis de pointer la France du doigt.

Comme dans une partie de chasse, ce sont des empreintes qui attirent en premier lieu l'attention des services canadiens. La note interne indique en effet que le CSEC collecte quotidiennement et automatiquement un certain nombre de données sur Internet.

Cette masse de données est ensuite digérée par un programme afin de détecter d'éventuelles anomalies, comme une activité inhabituelle ou le transfert anormal de fichiers. Dans cette gigantesque botte de foin, les espions canadiens trouvent une aiguille : des portions de code informatique, en provenance d'un programme non identifié, les intriguent.

Destiné à la « collecte de renseignements étrangers »

Les limiers baptisent ce mystérieux objet « Snowglobe » (boule à neige). Dès les premières pages, le document explique que les experts « sentent » que ce qu'ils ont sous les yeux est destiné à la « collecte de renseignements étrangers ».

Plus loin, ils assurent que la nature et la localisation de ses cibles « ne correspondent pas à de la cybercriminalité » traditionnelle. Le mémo ajoute enfin qu'en désossant le programme, les ingénieurs du CSEC ont conclu que cet objet informatique, une fois implanté sur sa cible, « collecte des courriels provenant de comptes spécifiques et ciblés ».

Le CSEC s'intéresse ensuite aux serveurs infectés avec lesquels communiquent ces programmes. Ces serveurs, « des postes d'écoute », semblent tenir un rôle crucial, puisqu'ils contrôlent à distance les logiciels « Snowglobe » qui infectent les ordinateurs visés. On comprend, à la lecture du document, que, dans un premier temps, les enquêteurs du CSEC ne sont parvenus à localiser qu'un seul de ces postes d'écoute.

Infection « parasitaire », selon les termes du document

L'agence active alors ses grandes oreilles sur les réseaux pour trouver des infrastructures similaires. Grâce à deux programmes de surveillance, le CSEC se fait une idée plus précise de l'implantation et du fonctionnement de « ces postes d'écoute ». La présentation du CSEC explique que ces « postes » se nichent sur deux types de serveurs. Les premiers ne nécessitent pas d'y rentrer par effraction. A l'inverse du deuxième type d'infection, « parasitaire », selon les termes du document, où le « poste d'écoute » cohabite avec d'autres programmes qui lui sont totalement étrangers.

Sur ce point, les analystes du CSEC paraissent perplexes. Ils n'arrivent pas à distinguer si ces « postes » sont installés dans les serveurs à l'insu de leurs propriétaires, par le biais d'un piratage, ou bien si les assaillants ont procédé par un « accès spécial ». Dans le langage feutré des espions, cela signifierait donc qu'une ordonnance juridique ou un partenariat aurait été signé entre l'agence de renseignement à l'origine de « Snowglobe » et le propriétaire d'un serveur, ce dernier étant contraint d'ouvrir les portes de son serveur pour héberger un de ces « postes d'écoute ». Sans doute un mélange des deux techniques, conclut le CSEC.

Une fois cet ensemble de « postes d'écoute » repéré, les experts canadiens concentrent leur surveillance sur l'un d'entre eux, à la manière d'une planque policière. Lorsque celui qui manipule le programme malveillant à distance s'y connecte, les Canadiens profitent d'un défaut de sécurité pour s'introduire discrètement dans ce « poste d'écoute », à leur tour.

« TITI », le surnom d'un développeur du logiciel espion

Les services canadiens relatent ensuite leurs efforts pour trouver l'identité de ce qui se cache derrière « Snowglobe ». Pour ce faire, ils réunissent plusieurs éléments troublants : le surnom d'un développeur du logiciel espion, « Titi », niché parmi les lignes de code, est présenté comme « un diminutif français ».

Puis viennent des formulations dans un anglais hasardeux au sein de l'interface du logiciel, ou l'utilisation du kilo-octet comme unité de mesure, et non du kilobyte, une unité propre au monde anglophone.

Enfin, détail sans nul doute le plus étonnant, qui pourrait, à certains égards, faire sourire, les Canadiens relèvent le nom donné au programme espion par son développeur : « Babar », du nom du célèbre pachyderme imaginé par Jean de Brunhoff. L'image d'un éléphant joyeux et gambadant trône même au beau milieu de la présentation top-secrète pour illustrer cette découverte. Ces éléments, ajoutés à la nature et l'origine des cibles du logiciel mouchard, conduisent au final les services canadiens à pointer du doigt un suspect : la France.

Aucune indication sur le nombre d'ordinateurs infectés

Tous les indices retrouvés lors de l'enquête sont évoqués très prudemment par les Canadiens. Cette prudence s'explique. L'attribution d'une attaque informatique qui dissimule son origine est un exercice extrêmement périlleux, même pour les meilleurs spécialistes.

« Au mieux, il est possible d'avoir une idée du niveau de son adversaire, de savoir s'il dispose de beaucoup de ressources et de temps »
, confie un bon connaisseur du sujet. En l'espèce, poursuit-il, après avoir consulté une partie de la présentation du CSEC,

« c'est un peu au-dessus de ce que l'on voit habituellement ».
L'appréciation est d'autant plus ardue que les experts du CSEC ne livrent aucune indication sur le nombre d'ordinateurs infectés ni ne disent si l'agence a pu tous les identifier, pas plus qu'ils ne décrivent la manière dont le logiciel espion procède pour intercepter les courriels de ses cibles.

La présentation du CSEC s'achève sur un aveu. Le logiciel espion a muté. Selon les experts canadiens, une version améliorée, plus « sophistiquée » de « Snowglobe », découverte mi-2010, et surnommée, cette fois-ci, « Snowman » (bonhomme de neige), leur résistait encore au moment était rédigé ce document.

Par Par Jacques Follorou et Martin Untersinger - Le monde

L'atome iranien en ligne de mire

Les agents canadiens arrivent à établir assez précisément les cibles que le logiciel d'espionnage prises en ligne de mire. Ainsi, il a visé en premier lieu cinq organisations iraniennes : le ministère des affaires étrangères, l'Organisation de l'énergie atomique d'Iran et trois universités. L'objectif était, visiblement, de collecter des informations sur les compétences iraniennes en matière de technologie nucléaire.

Mais l'Iran n'a pas été le seul pays ciblé. Outre le Canada, l'implant espion a été détecté en Côte d'Ivoire, en Algérie, en Espagne, en Grèce et en Norvège. Il a également été repéré en France, ce qui pose un léger problème. D'après Le Monde, le seul service à avoir les capacités techniques à créer un logiciel aussi sophistiqué est la DGSE, qui dispose d'un service de jeunes informaticiens et de hackers au fort de Noisy, à Romainville. Mais théoriquement, la DGSE n'a pas le droit de mener des opérations sur le territoire français. C'est le rôle de la DCRI. La DGSE s'est refusée à tout commentaire. Article complet sur 01.net

Liens connexes

Narilam : un malware visant l'Iran et les bases de données SQL
Iran : un malware « métalleux » s'attaque aux installations nucléaires
Cyberarmes Stuxnet et Flame : de troublantes similitudes
Barack Obama a ordonné les attaques Stuxnet contre l'Iran
Virus informatique : le retour de Flame
Flame : un nouveau programme malveillant sophistiqué



Commentaires

Ajouter un commentaire


Autres articles dans la catégorie « Evènements sociaux Surveillance & sécurité »