cybersécurité

Regin, redoutable cyberespion en embuscade

Deux sociétés de sécurité informatique, Symantec et Kaspersky, viennent de rendre leurs conclusions sur un logiciel espion super-puissant, forcément financé par un Etat. Mais difficile de savoir lequel

«Dans le monde des logiciels malveillants, seuls quelques rares exemples peuvent vraiment être considérés comme révolutionnaires et presque sans égal. Regin en fait partie.» La firme de sécurité informatique américaine Symantec est presque admirative, dans le mémorandum technique qu’elle a publié sur son site internet dimanche, consacré à un logiciel espion de type cheval de Troie extrêmement puissant, extrêmement furtif, et extrêmement mystérieux, et qui crée l’émoi dans le monde entier.

Quasiment indétectable

Car une fois installé sur un ordinateur, Regin est capable de voler les mots de passe, faire des captures d’écran, prendre le contrôle de la souris, écouter des conversations tenues par Skype, par exemple, et récupérer des fichiers pourtant détruits. Le tout en étant parfaitement silencieux, voire quasiment indétectable, tous ses modules étant cachés et cryptés, sauf le premier. Une architecture en dominos sophistiquée qui rappelle et dépasse celle de Stuxnet, ce logiciel espion lancé en 2010 très probablement par les services de renseignement américains et israéliens pour neutraliser des sites d’enrichissement d’uranium en Iran. Les pères des antivirus Norton en sont donc certains, seul un Etat a pu développer Regin, dont la mise au point a forcément mobilisé un temps et des moyens considérables.

La firme est remontée dans le temps: le plus avancé des logiciels d’espionnage serait dans la nature depuis au moins 2008, il disparaît des radars en 2011 (à peu près quand Stuxnet fait son apparition) avant de ressurgir dans une nouvelle version en 2013. Parmi ses cibles, de grosses sociétés travaillant dans la téléphonie (28% des attaques identifiées), l’énergie, le transport aérien, la banque, et même l’hôtellerie. «Sa présence a par exemple pu servir à ses instigateurs pour se renseigner sur les allées et venues de certaines personnes», affirme un expert de Symantec à l’AFP. Quelques particuliers au profil spécifique sont aussi visés, comme en Belgique le cryptographe Jean-Jacques Quisquater. Des organisations gouvernementales aussi – Wired cite la Commission européenne –, des instituts de recherche…

Plus de dix pays ont été touchés par des «brèches de sécurité», la Russie (28%) et l’Arabie saoudite (24%) représentant plus de la moitié des attaques recensées. Autres pays touchés: le Mexique, l’Irlande, l’Inde, le Pakistan, l’Afghanistan, la Belgique, l’Autriche et l’Iran. Les Etats-Unis ou Israël ne font pas partie de la liste publiée par Symantec, sans que cela implique qu’ils soient en cause, tout comme la présence d’un pays dans la liste ne l’absout pas, notent divers blogs spécialisés (la version en ligne de cet article comporte tous les liens des organismes et documents cités).

Qui est derrière?

Qui se cache derrière Regin? Symantec se garde bien d’avancer des hypothèses, soulignant simplement que l’outil, extrêmement souple et configurable, est adapté à une surveillance sur le long terme. Regin ne cherche pas d’informations spécifiques comme pour copier des projets de recherche et développement, ou bloquer des programmes à distance. Le logiciel semble se contenter d’accumuler des data, sans qu’on sache pour l’instant dans quel but.

Une autre société de sécurité informatique travaillait aussi sur Regin et a sorti son propre rapport lundi. Pour les Russes du laboratoire Kaspersky , qui avaient démasqué Stuxnet en son temps, la première version du logiciel remonterait à 2003, autrement dit à une époque où peu de pays travaillaient déjà sur ces logiciels, encore mal connus. Kaspersky note qu’en s’introduisant dans les systèmes de téléphonie comme Belgacom, Regin rend possibles de nouvelles attaques encore plus directes. Une base de téléphonie mobile dans un pays du Moyen-Orient aurait été visée en 2008.

Publicité