Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Projectsauron : la dernière cyberattaque sophistiquée sponsorisée par un Etat n’est pas attribuée

août 2016 par Dominique Bourra, président de la commission cybersécurité de la CCFI.

La dernière cyber attaque sponsorisée par un Etat se nomme « projectsauron », en référence au roman du britannique J.R.R. Tolkien : « le seigneur des anneaux », Lord of the Rings en version originale. Tous les analystes s’accordent à reconnaitre la sophistication exceptionnelle de ce logiciel d’espionnage. La société américaine Symantec dont les services forensiques opèrent depuis Dublin a, la première, révélé l’attaque initialement baptisée Remsec, menée par un groupe inconnu nommé "Strider", allusion au personnage Aragorn de Lord of the Rings.

Au vu de certaines caractéristiques hors du commun, Symantec laisse entendre que Strider porterait la griffe d’une agence gouvernementale et non celle de hackers indépendants. Cette indication est moins évasive qu’il n’y paraît puisque les seules agences gouvernementales capables d’élaborer ce type d’attaques ultrasophistiquées, forment un club restreint qui compte en son noyau : la Russie, les Etats-Unis, la Chine, la France, le Royaume-Uni et last but not least Israël (2ème cyber puissance après les USA selon certains analystes). Les attaques de Remsec-Strider, révélées par Symantec auraient visé, entre autres, la Russie et la Chine.

Le leader américain de la sécurité informatique précise que des logiciels espions de la classe de Remsec sont rares, et que l’on n’en découvre en moyenne qu’un ou deux par an, les bonnes années. Pour se démarquer de l’américain Symantec tout en maintenant la référence au seigneur des anneaux, le russe Kaspersky a pour sa part renommé « projectsauron » cette nouvelle cyberattaque orpheline. Le géant russe de la sécurité, révèle que le logiciel malveillant aurait, d’après ses relevés, frappé des cibles situées notamment en Russie, en Iran, en Suède, en Belgique et au Rwanda, et que son code présente des similitudes importantes avec les précédentes attaques Duqu, Flame, Equation et Regin. Attaques dont il se chuchote parfois dans les cercles de cybersécurité, qu’elles auraient été conçues par les USA pour certaines, par Israël pour d’autres, voire parfois par les deux Etats agissant de conserve, sans que rien de concret ou d’irréfutable, ne vienne jamais étayer ces spéculations téméraires (sauf peut-être dans le cas de Stuxnet comme le suggèreraient des fuites américaines relatives à l’opération « Olympic Games », aka the Bug).

Il y a plusieurs mois, Kaspersky piqué au vif, se départait de son flegme en rebaptisant soudain "duqu Bet" (*) la cyberattaque duqu 2.0 qui est la deuxième version de la menace avancée persistante Duqu (**), avant de faire marche arrière et retirer cette allusion perfide, en l’absence de preuve. A l’occasion du dévoilement fracassant de « Projectsauron » (aka « Remsec » ou « Strider »), le leader russe de la cybersécurité énumère à nouveau les nombreux points communs du code avec des attaques antérieures d’anthologie ; met en exergue les emprunts à Duqu, Flame, Equation, Regin ; et pointe même des convergences techniques troublantes avec "Animal Farm", dont le nom renvoie au roman dystopique d’Orwell "la ferme des animaux", cyberattaque récente sponsorisée par un Etat, et attribuée sans preuves à la France, par certains experts (***).

A suivre.


*(*) Duqu Bet peut signifier « le pari Duqu » en anglais, ou plus probablement « Duqu II » en guématrie, Bet étant la deuxième lettre de l’alphabet hébraïque. *

*(**) Duqu fut ainsi baptisé en rappel de la chaîne de caractères DQ, par allusion au « Comte Dooku » aka Dark Tyranus, de la saga Star Wars de George Lucas. *

*(***) Cette question a été abordée, avec recul et discernement, en mars dernier, lors d’un atelier spécial dédié aux cyberattaques sponsorisées par les états, organisé dans le cadre des 15èmes rencontres de cybersécurité France-Israël à Paris.




Voir les articles précédents

    

Voir les articles suivants