Actu
Projectsauron : la dernière cyberattaque sophistiquée sponsorisée par un Etat n’est pas attribuée
août 2016 par Dominique Bourra, président de la commission cybersécurité de la CCFI.
La dernière cyber attaque sponsorisée par un Etat se nomme
« projectsauron », en référence au roman du britannique J.R.R. Tolkien :
« le seigneur des anneaux », Lord of the Rings en version originale. Tous
les analystes s’accordent à reconnaitre la sophistication exceptionnelle de
ce logiciel d’espionnage. La société américaine Symantec dont les services
forensiques opèrent depuis Dublin a, la première, révélé l’attaque
initialement baptisée Remsec, menée par un groupe inconnu nommé "Strider",
allusion au personnage Aragorn de Lord of the Rings.
Au vu de certaines caractéristiques hors du commun, Symantec laisse
entendre que Strider porterait la griffe d’une agence gouvernementale et
non celle de hackers indépendants. Cette indication est moins évasive qu’il
n’y paraît puisque les seules agences gouvernementales capables d’élaborer
ce type d’attaques ultrasophistiquées, forment un club restreint qui compte
en son noyau : la Russie, les Etats-Unis, la Chine, la France, le
Royaume-Uni et last but not least Israël (2ème cyber puissance après les
USA selon certains analystes). Les attaques de Remsec-Strider, révélées
par Symantec auraient visé, entre autres, la Russie et la Chine.
Le leader américain de la sécurité informatique précise que des logiciels
espions de la classe de Remsec sont rares, et que l’on n’en découvre en
moyenne qu’un ou deux par an, les bonnes années. Pour se démarquer de
l’américain Symantec tout en maintenant la référence au seigneur des
anneaux, le russe Kaspersky a pour sa part renommé « projectsauron » cette
nouvelle cyberattaque orpheline. Le géant russe de la sécurité, révèle
que le logiciel malveillant aurait, d’après ses relevés, frappé des cibles
situées notamment en Russie, en Iran, en Suède, en Belgique et au Rwanda,
et que son code présente des similitudes importantes avec les précédentes
attaques Duqu, Flame, Equation et Regin. Attaques dont il se chuchote
parfois dans les cercles de cybersécurité, qu’elles auraient été conçues
par les USA pour certaines, par Israël pour d’autres, voire parfois par les
deux Etats agissant de conserve, sans que rien de concret ou d’irréfutable,
ne vienne jamais étayer ces spéculations téméraires (sauf peut-être dans le
cas de Stuxnet comme le suggèreraient des fuites américaines relatives à
l’opération « Olympic Games », aka the Bug).
Il y a plusieurs mois, Kaspersky piqué au vif, se départait de son flegme
en rebaptisant soudain "duqu Bet" (*) la cyberattaque duqu 2.0 qui est la
deuxième version de la menace avancée persistante Duqu (**), avant de faire
marche arrière et retirer cette allusion perfide, en l’absence de preuve. A
l’occasion du dévoilement fracassant de « Projectsauron » (aka « Remsec »
ou « Strider »), le leader russe de la cybersécurité énumère à nouveau les
nombreux points communs du code avec des attaques antérieures d’anthologie ;
met en exergue les emprunts à Duqu, Flame, Equation, Regin ; et pointe même
des convergences techniques troublantes avec "Animal Farm", dont le nom
renvoie au roman dystopique d’Orwell "la ferme des animaux", cyberattaque
récente sponsorisée par un Etat, et attribuée sans preuves à la France, par
certains experts (***).
A suivre.
*(*) Duqu Bet peut signifier « le pari Duqu » en anglais, ou plus
probablement « Duqu II » en guématrie, Bet étant la deuxième lettre de
l’alphabet hébraïque. *
*(**) Duqu fut ainsi baptisé en rappel de la chaîne de caractères DQ, par
allusion au « Comte Dooku » aka Dark Tyranus, de la saga Star Wars de
George Lucas. *
*(***) Cette question a été abordée, avec recul et discernement, en mars
dernier, lors d’un atelier spécial dédié aux cyberattaques sponsorisées par
les états, organisé dans le cadre des 15èmes rencontres de cybersécurité
France-Israël à Paris.
