* Possible Governmental Backdoor found ("case R2D2")

– Date : 10 Octobre 2011

– Gravité : Elevée

– Description :

Le CCC, le célèbre groupe de hacker allemand, a publié vendredi soir un document d’une vingtaine de pages dénonçant l’utilisation d’une porte dérobée par le gouvernement.

Le malware en question serait composé d’une librairie partagée et d’un pilote en mode noyau. Il offrait plusieurs fonctionnalités classiques telles que l’enregistrement des frappes (un "keylogger"), un mécanisme capable de prendre des captures d’écran, ou encore un autre capable d’enregistrer le son, par exemple les conversations Skype. Le keylogger ciblerait, entre autres, les applications telles que Firefox, Skype, MSN Messenger ou encore ICQ ; mais il semblerait que cela ne soit pas les seuls programmes pouvant être manipulés.

De plus, cette porte dérobée est capable de se mettre à jour en se connectant sur deux serveurs de contrôle correspondant aux adresses IP 83.236.140.90 et 207.158.22.134.

Selon F-Secure rien ne permet actuellement de mettre en doute les informations publiées par le CCC, mais rien ne permettrait de les étayer. L’éditeur de solutions antivirales détecte donc le malware sous la signature "Backdoor:W32/R2D2.A", en référence au non de cette affaire. Celui-ci provient d’une chaine de caractères ""C3PO-r2d2-POE" qui peut être observée lors de l’initialisation d’une transmission de donnée par le malware.

Reste à attendre une réaction officielle de la part du gouvernement allemand. En effet, c’est le seul acteur à ne pas s’être exprimé sur le sujet, et qui est pourtant le seul à pouvoir répondre aux nombreuses interrogations en suspens dans le cadre de l’affaire R2D2.

– Référence :

http://www.f-secure.com/weblog/archives/00002249.html

http://www.ccc.de/en/updates/2011/staatstrojaner

http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf

– Lien extranet XMCO Partners :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-1717