Vous rappelez-vous de « Snowglobe » ? C’était le nom donné par les services secrets canadiens (CSEC) à un logiciel de cyberespionnage dont l’origine serait probablement une « agence française de renseignement », comme ils l’affirment dans une présentation datant de 2009 et révélée par Le Monde en mars 2014 (et dans une version plus complète par Der Spiegel en janvier 2015). Pour arriver à cette conclusion, les agents canadiens s’étaient appuyés entre autres sur des éléments de langage trouvé dans le code, comme le nom du projet, « Babar », inspiré de la célèbre série animée française pour enfants. A partir de ses informations, les chercheurs en sécurité se sont mis à traquer ce fameux Babar.
Or il vient d’être retrouvé, accompagné d’un ami, baptisé « EvilBunny ». Plusieurs chercheurs en sécurité ont en effet mis la main sur des échantillons de ces deux malwares, au travers du site VirusTotal.com. Celui-ci permet d’uploader des exécutables suspects pour les soumettre à l’analyse des chercheurs. Babar y apparaît en 2012. « Nous avons mis un certain temps avant de le retrouver. La base de VirusTotal est très grande », explique Paul Rascagnères, chercheur en sécurité chez l’éditeur GData.
Pour décortiquer l’animal plus rapidement, Rascagnères se partage le travail entre autres avec Joan Calvet d’Eset Security et Marion Marschalek de Cyphort. Une impression de déjà-vu les saisit alors. Certains bouts de code ressemblent beaucoup à celui d’un autre logiciel d’espionnage, analysé en novembre dernier par Marion Marschalek, « EvilBunny », qui est légèrement plus récent que Babar d’après les dates de compilation. Il est donc très probable que ces deux logiciels ont été développés par la même équipe : ils font partie d’un même arsenal.
De quoi est capable Babar ? C’est un logiciel d’espion plutôt complet, fait pour des attaques très ciblées. Il permet d’intercepter les frappes de clavier, de prendre des copies d’écran, de récupérer le contenu du presse-papier et, surtout, d’enregistrer les flux audio de messageries telles que Skype, MSN, Google Talk, Yahoo Messenger, Oovoo, Nimbuzz ou X-Lite « C’est l’aspect le plus original de ce logiciel. C’est assez rare de trouver ce type de fonctionnalité dans les logiciels d’espionnage disponibles sur le marché noir, car c’est assez compliqué à gérer », souligne Paul Rascagnères.
Moins bon que la NSA
Pour autant, Babar n’est pas du codage de haut vol. Pour cacher le malware dans le système, il est simplement injecté dans un processus existant, une manière de faire ultraclassique. « Ce n’est pas comparable à Regin ou aux logiciels d’Equation Group. Il est plus léger, plus rudimentaire. C’est clairement une gamme en dessous. Deux personnes à temps plein suffisent pour développer cela en quelques mois », estime le chercheur. Pas très flatteur pour la supposée « agence française de renseignement » qui serait à l’origine de ce code.
A ce propos, les chercheurs n’apportent aucun élément supplémentaire. La paternité de Babar ou d’EvilBunny n’est pas abordée dans leurs analyses. « Il est impossible d’affirmer que ce logiciel a été créé par une agence française. La seule manière de le prouver serait au travers d’une fuite d’information. Le code, en lui-même, n’est pas suffisant », précise M. Rascagnères.
Babar et EvilBunny, deux produits de la « French Tech » ? Le mystère reste entier…
Lire aussi:
La NSA est capable de reprogrammer n’importe quel disque dur, le 17/02/2015
Sources:
Analyses de Marion Marschalek (Cyphort) et Paul Rascagnères (GData)
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
