Babar et la DGSE : L'éléphant dans la pièce

Cet article de Lorenzo Franceschi-Bicchierai a d'abord été publié sur MOTHERBOARD, la chaîne des sciences et Technologies de VICE.

La NSA, le CGHQ (le service des renseignements électroniques britannique), et leurs alliés anglo-saxons du Five Eyes (l'alliance des services de renseignement de l'Australie, du Canada, de la Nouvelle-Zélande, et donc du Royaume-Uni et des États-Unis) ne sont pas les seules agences gouvernementales à avoir recours à des programmes malveillants (malware) pour faire du renseignement.

Ce mercredi, des chercheurs ont révélé de nouveaux détails sur un virus connu sous le nom de Babar qui permet d'écouter une conversation audio et vidéo tenue sur Skype, MSN et Yahoo Messenger. Ce logiciel malveillant permet d'enregistrer ce que l'usager tape sur son clavier mais aussi d'avoir accès à l'historique des sites Internets visités pas l'internaute.

Babar est un « véritable outil d'espionnage, destiné à mener des opérations poussées d'espionnage » explique le rapport rendu par les chercheurs. Ils publient deux rapports complémentaires qui analysent le fonctionnement du logiciel espion, et soutiennent l'idée que la DGSE (Direction Générale de la Sécurité Extérieure) pourrait être à l'origine de Babar.

Le ministre de la Défense français a été contacté pour répondre à nos questions, mais n'a pas pu y répondre avant la publication de cet article.

« Les Européens sont tout aussi capables que les Américains et les Russes de développer des stratégies de cyber-espionnage, » a expliqué à Motherboard, une chercheuse autrichienne de Cyphort, à l'origine d'un des deux rapports, Marion Marschalek. « La France est tout aussi active que les autres grosses pointures de l'espionnage mondial. »

Marschalek a analysé le virus avec Paul Rascagneres, un analyste de la compagnie de sécurité G Data et Joan Calvet, un chercheur qui travaille pour ESET qui produit des anti-virus.

Les premiers soupçons sur l'existence de Babar remontent à mars 2014, date à laquelle Edward Snowden a dévoilé un document qui révélait l'existence d'une opération d'espionage baptisée SNOWGLOBE qui date de 2009. Selon l'agence canadienne de renseignement Communications Security Establishment (CSE), qui a découvert l'opération, SNOWGLOBE avait pour cible principale le programme nucléaire iranien, mais a aussi touché des internautes en Grèce et Espagne.

Le virus Babar a été utilisé pour mener cette opération à bien, et CSE en a conclu avec « une certitude modérée » que SNOWGLOBE a été menée par une « agence française de renseignement ». Les chercheurs pensent qu'il s'agissait d'une version plus ancienne de Babar qu'ils ont analysé. Les capacités précises de cette ancienne version sont peu claires.

Après la publication par le journal Le Monde du document produit par CSE qui révèle l'existence de Babar et SNOWGLOBE, les chercheurs ont déclaré avoir obtenu des échantillons du virus et des données binaires de celui-ci. Ces données appartiennent aux mêmes cyber-assaillants et proviennent de la même « famille » que le virus décrit dans le document de CSE. Marschalek explique qu'un autre chercheur, qui a préféré rester anonyme, a indiqué que des copies du virus ont été stockées sur VirusTotal, un service de détection des virus informatiques.

Bien que les deux nouveaux rapports ne permettent pas de prouver l'implication de la France, ils confirment de nombreux détails présents dans le document produit par CSE, selon les chercheurs.

« Je suis convaincue [que la France en est à l'origine], mais prouver cela publiquement est quasiment impossible, » a expliqué Marschalek à Motherboard par messagerie instantanée. « Avec les données binaires, vous avez connaissance du problème, mais contrairement aux vraies scènes de crimes, vous n'avez pas de véritables preuves. Il y a des indicateurs, desquels vous pouvez tirer quelques conclusions, mais ce qui jouerait le rôle d'une empreinte digitale [pour un meurtre ou un un vol] peut être falsifié dans ce genre d'histoires. »

Le premier indice est le nom du virus. CSE a identifié le nom « utilisé en interne » du virus comme Babar — un éléphant héros d'un livre pour enfants, très populaire en France. L'échantillon du virus analysé par Marschalek et Rascagneres était nommé Babar64. Babar est aussi rentré en communication avec les mêmes serveurs que deux autres outils de piratages, EvilBunny et TFC — que les chercheurs soupçonnent d'avoir aussi été créés par les Français. Ces serveurs hébergeaient aussi des sites francophones.

Un autre indice vient d'une simple faute de frappe.

D'après le document du CSE, le créateur de Babar a mal orthographié une ligne de code. Au lieu d'écrire MSIE, l'auteur a écrit MSI. La même erreur est faite dans le code de Babar64 et EvilBunny.

Toutes ces petites miettes d'indice sont des « propriétés uniques » qui prouvent que le virus analysé par Marschalek, Rascagneres et Calvet est probablement associé avec celui qui est décrit dans le document de CSE, selon Morgan Marquis-Boire, un ancien employé de Google, spécialiste des questions de sécurité, qui est maintenant le directeur de la sécurité pour First Look Media.

Ces rapports sont une « étape importante » pour comprendre les capacités de piratage des nations occidentales qui ne sont pas membres des Five Eyes. Bien que Babar ne soit probablement pas aussi sophistiqué que le virus REGIN créé par le GCHQ ou la campagne de la NSA révélée dernièrement, il s'agit quand même d'un travail « de grande qualité, » a expliqué Marquis-Boire à Motherboard.

« Il y a différentes strates d'acteurs dans l'arène du cyber-espionnage au niveau étatique, » explique Marquis-Boire qui a eu accès au rapport. « Il y a beaucoup, vraiment beaucoup, de virus très mal codés. Là, vous êtes en présence d'un virus de qualité, ce que vous êtes en droit d'attendre d'un pays qui est doté d'un système militaro-industriel solide. »

Selon Marschalek, Babar n'est pas « très sophistiqué, » mais est très précis. « C'est un très bon logiciel, au dessus du niveau de ce que les analystes comme nous pouvons voir défiler chaque jour. »

En d'autres termes, il semblerait qu'on puisse dire que la France compte, elle aussi, dans le business du piratage informatique.

Cet article de Lorenzo Franceschi-Bicchierai a d'abord été publié sur MOTHERBOARD, la chaîne des sciences et Technologies de VICE.

Image via Flickr / Brendan Adkins