La NSA a mis au point un logiciel espion d’une dangerosité jamais vue

février 18, 2015
admin

La société Kaspersky a découvert un groupe de pirates utilisant des logiciels malveillants très sophistiqués, qui s’implantaient au cœur des disques durs. Leurs activités ont été reliées à l’agence de renseignement américaine.

Durant au moins quatorze ans, un groupe de pirates informatiques est parvenu à mener des centaines d’attaques de grande ampleur dans une trentaine de pays, sans jamais être inquiétés. Nommé «Equation», ce groupe a été démasqué par l’entreprise de sécurité informatique Kaspersky, dans une enquête publiée mardi. Les éléments révélés suggèrent que ces pirates étaient liés à la NSA, l’agence américaine de renseignements qui a conçu programme PRISM de surveillance du Net.

Kaspersky ne nomme jamais la NSA dans son rapport. Le rapprochement avec Equation tient à la nature des armes employées. L’un des virus développés par le groupe en 2008, appellé Fanny, utilise les mêmes failles de sécurités que Stuxnet, un logiciel espion qui espionnait les infrastructures nucléaires iraniennes. «L’usage similaire des mêmes failles sur deux virus différents, dans un laps de temps proche, indique que le groupe Equation et les développeurs de Stuxnet sont les mêmes personnes ou travaillent en étroite collaboration», précise le rapport. Les failles ont même été utilisées dans Fanny avant Stuxnet. Or, selon les révélations du lanceur d’alertes Edward Snowden, la NSA et Israël ont coécrit Stuxnet. Autre indice, les logiciels malveillants d’Equation comportaient dans leur code le même nom qu’un outil de la NSA dévoilé par The Intercept en mars dernier, souligne le site ArsTechnica.

Un logiciel malveillant indétectable

Plus de 500 ordinateurs infectés ont été repérés par Kaspersky, dans 42 pays dont beaucoup surveillés par les États-Unis: Iran, Pakistan, Syrie, etc. La France aurait été touchée, dans une moindre mesure. La première opération d’Equation remonte à 2001, «peut-être même 1996» explique le rapport. Les cibles allaient des gouvernements aux antennes diplomatiques, armées, médias, organisations islamiques ou les secteurs des télécoms, des hydrocarbures, du nucléaire, des nanotechnologies, de la finance.

Fanny et Stuxnet visaient tous les deux les ordinateurs «air-gapped», c’est-à-dire n’étant pas connectés à Internet. Fanny pouvait se cacher dans une partie invisible d’une clé USB, lorsque cette clé était branchée à un ordinateur non connecté elle analysait ses données. Un des autres modes de contamination passait par des pages Web vérolées. Kaspersky cite le cas de forums de discussions djihadites ou de publicités sur de sites populaires au Moyen-Orient.

Le logiciel malveillant infectait une partie spécifique du disque dur, son logiciel interne, et restait invisible. Pour réaliser cette prouesse, les créateurs du programme devaient de connaître le code source du disque dur de l’ordinateur visé. D’anciens agents contactés par l’agence Reuters ont confirmé que la NSA était capable de cacher des logiciels espions dans les disques durs de nombreux grands constructeurs, comme Western Digital ou Toshiba. Plusieurs de ces constructeurs ont nié auprès de Reuters avoir connaissance des logiciels espions d’Equation. Western Digital a affirmé que l’entreprise ne communiquait pas le code source de ses disques durs à des agences gouvernementales.

«L’Étoile de la Mort de la galaxie des logiciels malveillants»

Kaspersky dépeint Equation comme un des groupes de pirates les plus chevronnés au monde. Il «surpasse tout ce qui est connu en termes de complexité et de sophistication des techniques» et «unique dans presque tous les aspects de ses activités». Jamais à court de superlatifs, il surnomme même Equation «l’Étoile de la Mort de la galaxie des logiciels malveillants».

Kaspersky tire l’essentiel de ses revenus de la vente d’antivirus et de protections informatique. Il a tout intérêt à présenter ses découvertes et les menaces informatiques qu’il dévoile comme majeures. Lundi 16 février, la société a dévoilé une suite de piratages de banques ayant abouti au vol de plus de 300 millions de dollars depuis 2013. «C’est probablement l’attaque la plus sophistiquée au monde en terme de tactiques et de méthodes utilisées», a affirmé le responsable Amérique du Nord de Kaspersky, Chris Doggett au New York Times.

Plusieurs des vulnérabilités exploitées par Equation étaient surnommées «zero-day», des failles de sécurité qui n’ont pas encore été découvertes ni utilisées, et qui demandent un important niveau d’expertise. Ces failles sont dans le collimateur de toutes les grandes entreprises. Cet été, Google a lancé le Project Zero, une équipe d’anciens pirates rassemblée pour traquer et réparer les failles «zero-day».