« Nous sommes certains que ce n’est que le sommet de l’iceberg. »

Les chercheurs de la société de sécurité informatique Kaspersky ont été bluffés. Pour preuve, le nom qu’ils ont donné à ce nouveau logiciel-espion hors du commun qu’ils ont déniché : « Projet Sauron ».

Une référence au légendaire grand méchant du « Seigneur des anneaux », le livre culte de J.R.R. Tolkien, qui peut voir partout grâce à son œil.

Le clin d’œil, présent dans les lignes de code du logiciel-espion, à l’œuvre majeure de la littérature fantastique ne doit pas occulter l’importance de la découverte.

Au service d’un Etat

Les ingénieurs de Kaspersky n’ont pas été les seuls à mettre la main sur Projet Sauron, comme l’explique Le Monde. Chez Symantec aussi on a découvert l’existence du monstre. L’entreprise a préféré le nommer Remsec.

Dans des rapports publiés le 7 août, chez Symantec, et le 8 août, chez Kaspersky, les deux entreprises spécialisées détaillent cet outil d’une sophistication sans égale et probablement au service... d’un Etat.



La référence à Sauron dans le code du logiciel-espion - Symantec

Elles ont découvert Sauron complétement par hasard. Kaspersky explique l’avoir repéré en septembre 2015 dans « un réseau appartenant à une institution publique » à la suite de la détection d’un niveau de trafic anormal. Pareil chez Symantec.

Que vise Projet Sauron ?

Selon les rapports des deux sociétés, Projet Sauron est actif depuis juin 2011 et s’est installé dans les « environnements Windows », précise le site Silicon.fr.

Selon les enquêtes des ingénieurs, le but de Sauron est de reconnaître ce qui est tapé sur un clavier, de voler des documents et des clés de chiffrement dans des ordinateurs infectés, ou des clés USB.

« À ce jour, plus de 30 organisations, victimes du logiciel, ont été identifiées », pointe Kaspersky. Elles se situent principalement en Russie, en Iran, au Rwanda et, potentiellement, en Italie.

« Nous estimons que beaucoup d’autres organisations et zones géographiques sont susceptibles d’être affectés », préviennent-ils.

De son côté, Symantec évoque la Chine, la Belgique et la Suède en plus de la Russie.

Kaspersky et Symantec pointent le rôle particulier des institutions visées par le logiciel-espion :

Les gouvernements.

Les institutions militaires.

Les centres de recherches scientifiques.

Les opérateurs télécoms.

Les organisations financières.

Pourquoi une découverte si tardive ?

Cinq ans avant d’être mis à jour, c’est long, surtout pour un logiciel-espion. D’où le qualificatif « sophistiqué », utilisé par les deux sociétés de sécurité informatique.

Projet Sauron a été conçu différemment des autres logiciels-espions. Il se glisse dans des fichiers en apparence banals. Mais surtout, note Kaspersky :

« La caractéristique la plus remarquable de Projet Sauron est son refus délibéré d’utiliser un modèle. Il personnalise son implantation et son infrastructure pour chaque cible. Cette approche permet au logiciel de mener des campagnes secrètes d’espionnage à long terme dans les réseaux cibles. »



L’oeil de Sauron dans « Le Seigneur des anneaux » - Metropolitan FilmExport

Comprendre : les traces et les indices laissés par Sauron sont différents d’un système infecté à l’autre. Le logiciel change sa morphologie en fonction de son environnement.

D’où ce commentaire d’un chercheur de Kaspersky, souligné par Le Monde :

« Les pirates ont clairement compris que nous sommes toujours à la recherche de comportements répétitifs. Supprimez-les et l’opération sera bien plus difficile à découvrir. »

Selon Kaspersky, le logiciel est aussi capable de voler des informations sur des ordinateurs qui ne sont pas connectés à Internet grâce à une clé USB infectée qui aspire des données discrètement.

Qui a développé Projet Sauron ?

Vu la bête, la question est légitime. Pour les deux entreprises de sécurité informatique, il n’y a pas de doute : c’est un Etat qui a développé et qui utilise Sauron. Symantec estime que les cibles sont « principalement des organisations ou des individus qui pourraient intéresser des services de renseignement ».

« Le coût, la complexité, la persistance et le but ultime de l’opération : voler des données confidentielles et secrètes d’institutions publiques sensibles, suggère l’implication ou le soutien d’un Etat », fait valoir Kaspersky.

Mais aucune des deux entreprises n’osent donner un nom.