L’avis des experts

Une cyberattaque particulièrement sophistiquée

Un outil de cyberespionnage «quasiment invisible» a été récemment découvert par une entreprise de sécurité informatique parmi les plus réputées du monde. Ce «malware» a notamment servi à espionner des hôtels suisses où se sont tenues les négociations sur le nucléaire iranien

L’une des entreprises de sécurité informatique les plus réputées du monde, Kaspersky, a été elle-même espionnée. Elle l’a découvert lors d’un test «grandeur nature» d’un de ses prototypes visant à détecter les cyberattaques avancées (Advanced Persistant Threats ou APT). Après avoir enquêté en profondeur sur cette menace, ses experts ont partagé le fruit de leurs recherches avec d’autres éditeurs de logiciels antivirus, ce qui a permis de mettre en lumière d’autres affaires.

Kaspersky a nommé l’attaque dont elle a été victime «Duqu 2», car elle a découvert que ce malware (logiciel malveillant) était une version actualisée de Duqu, un malware découvert fin 2011 et utilisé pour espionner l’Iran, notamment ses efforts pour développer des matières nucléaires et ses relations commerciales avec d’autres pays. Duqu ressemble lui-même fortement au ver Stuxnet, développé conjointement par les Etats-Unis et Israël, et utilisé en 2010 pour attaquer directement certaines infrastructures nucléaires iraniennes.

Ce qui distingue Duqu 2 des autres malwares? Duqu 2 exploite plusieurs vulnérabilités, dites «0-day». Un «0-day» est une faille connue uniquement du pirate qui l’a trouvée. Ces vulnérabilités se vendent et s’achètent sur le marché noir du malware. Mais elles perdent de leur efficacité lorsqu’elles sont découvertes, suite par exemple à leur utilisation, car les éditeurs fournissent des correctifs. La rareté de ce type de dispositif et le fait qu’on n’utilise qu’une seule fois leur plein potentiel les rendent très chers. Le fait que Duqu 2 en utilise plusieurs en dit long sur les moyens du groupe qui se trouve à son origine. Les estimations de son coût de développement oscillent entre 10 et 50 millions de dollars. Au vu de l’investissement et du modèle utilisé, il est fort probable que les concepteurs ont d’autres vulnérabilités en stock.

Un autre élément différenciateur de Duqu 2 est son comportement furtif et extrêmement discret. Le malware réside entièrement dans la mémoire du système infecté, ce qui représente une nouveauté. Si la machine de la victime est redémarrée, le malware disparaît complètement de la mémoire sans laisser une seule trace de sa présence antérieure. Les seules exceptions à la règle sont les quelques relais parcimonieusement disséminés dans le réseau cible, qui permettent une communication avec l’extérieur et garantissent la persistance de l’attaque en offrant aux pirates la possibilité de réinfecter les machines.

Kaspersky a acquis la certitude qu’une équipe opère le malware depuis un centre de commandes distant et peut faire usage à loisir des informations récupérées. Ces caractéristiques sont courantes dans le monde des malwares, mais des modèles aussi aboutis et industrialisés restent très rares.

Si l’on prend chaque élément indépendamment, aucun ne constitue une prouesse technologique hors du commun. C’est le fait que tous ces éléments aient été rassemblés et les moyens qui y ont été investis qui rendent ces attaques impressionnantes. Ce n’est pas l’œuvre d’un individu seul, c’est le produit d’un groupe organisé avec des procédés industriels. Cette complexité s’accompagne tout de même de contraintes. Le malware ne pourra pas évoluer facilement dans le réseau d’un particulier, par exemple: il nécessite des composants qu’on trouve dans les réseaux d’entreprise (comme l’annuaire). Plus on utilise un tel outil, plus il a de chances d’être découvert et moins, de ce fait, il y aura de retour sur l’investissement. Son utilisation ne peut donc être faite qu’au compte-gouttes et requiert des cibles de choix.

Peu de détails ont été divulgués concernant l’infection des hôtels qui ont hébergé les négociations du dossier nucléaire iranien. Il est toutefois fort probable que l’équipe ait utilisé le même mode opératoire que pour l’attaque sur Kaspersky.

Comme il est d’usage lors d’attaques ciblées (par exemple l’affaire Giroud), les pirates informatiques ont commencé par rassembler des informations sur leur cible afin d’identifier du personnel non technique et donc susceptible d’être grugé facilement. Suite à quoi les pirates envoient un e-mail forgé (qui a l’air de provenir d’une source de confiance avec un sujet pertinent pour le destinataire) contenant une pièce jointe ou un lien. Ce procédé d’ingénierie sociale consiste à pousser la personne à commettre l’action désirée par l’attaquant. Dans ce cas, lorsque la victime ouvre la pièce jointe ou navigue (volontairement ou non) vers l’adresse du lien, elle exécute un code exploitant une faille qui installe le malware dans le système.

A l’heure actuelle, aucune preuve permettant d’imputer ces attaques à un groupe ou à un Etat n’a été publiquement divulguée. Il est cependant très peu probable que ces attaques soient l’œuvre d’une personne seule. Les moyens mis en œuvre, la complexité de l’attaque ainsi que l’organisation requise pour conduire l’opération ne peuvent être réunis que par un petit nombre d’Etats ou de groupes de cybercriminels. De plus, le lien avec les négociations sur le nucléaire iranien et les similarités avec Duqu et son prédécesseur Stuxnet permettent de réduire encore un peu le champ des coupables possibles, soit Israël, qui a vivement nié en bloc les accusations, et les Etats-Unis, qui étaient présents pendant les négociations, donc «victimes» eux aussi de cette attaque.

Même si de nombreuses questions géopolitiques subsistent, une chose est sûre: au vu des efforts mis en œuvre pour préserver l’anonymat de ce malware (son code et son origine), il est fort probable que ce dispositif procède, ou va procéder, à d’autres attaques.

Duqu ressemble fortement

au ver Stuxnet, développé par

les Etats-Unis et Israël pour attaquer des infrastructures nucléaires iraniennes

Après avoir identifié le personnel non technique, susceptible d’être facilement grugé, les pirates envoient un e-mail contenant un lien fatal

Les Opinions publiées par Le Temps sont issues de personnalités qui s’expriment en leur nom propre. Elles ne représentent nullement la position du Temps.