Un nouveau logiciel espion très perfectionné vient d’être découvert : Casper, de son petit nom donné par ses créateurs. Toute une généalogie de virus est ainsi en train d’être reconstituée grâce à ces trouvailles récentes. Le plus ancien, Evil Bunny a été disséqué le mois dernier. Sa parenté avec Babar, un autre programme, est alors apparue. Aujourd’hui, la société Eset affirme que Casper est de la même famille. Joan Calvet, l’auteur du rapport, l’attribue avec «un haut niveau de confiance» aux mêmes développeurs que Babar, d’après le rapport que Libération a pu consulter avant sa publication.

Or, Babar a un pedigree aussi fameux que mystérieux. Les services de renseignement canadiens, cités dans un document fourni par Edward Snowden, considèrent – avec «une certitude modérée» – qu’il serait l’oeuvre des services secrets français. Le Monde, qui a révélé le document, soulignait qu’une telle assertion était en soi «assez rare dans un univers où la certitude absolue n’existe pas en matière d’attribution d’attaque informatique».

«Une version mature de Babar»

Joan Clavet est incapable de relier Casper aux services secrets français, et ainsi de confirmer ou d’infirmer l’hypothèse émise par les services de renseignement canadien. «Aucun signe ne pointe vers qui que ce soit», explique le chercheur. La direction générale de la sécurité extérieure (DGSE), contactée par Libération, «ne commente pas ses activités réelles ou supposées». «Tout est neutre, très bien fait, en anglais, comme si Casper était une version mature de Babar [conçu en 2009, ndlr], dont les erreurs auraient été corrigées.» Un faisceau d’indices rend crédible la piste française.

Ses similitudes avec Babar, d’abord. «Plusieurs parties de code très spécifiques de Casper sont aussi dans Babar et Bunny [un autre programme de la même famille, récemment identifié]», indique Joan Calvet. Tous les trois portent d’ailleurs les noms de dessins animés, donnés par leurs concepteurs…

La cible du virus aussi intrigue : la Syrie. Casper a été installé en avril sur un site lié au gouvernement syrien. Le chercheur souligne que ses créateurs avaient «un intérêt vraisemblable pour la géopolitique». Les caractéristiques techniques du virus, et son extrême perfectionnement, laissent enfin penser que «les opérateurs de Casper appartiennent à une puissante organisation», capable de mener des opérations de «haut niveau».

Se taire plutôt que d’être découvert

Que fait Casper ? C’est littéralement un programme espion fantôme : il récolte le plus discrètement possible des informations sur ses cibles, sans jamais dévoiler sa présence, puis transmet son rapport. En bon espion, il s’adapte à son environnement et préfère se taire – ne pas faire remonter de renseignements – qu’être découvert. Quitte, s’il le faut, à s’autodétruire.

Transposé dans un environnement informatique, Casper détecte la présence d’antivirus sur les machines infectées et se met, ou non, en branle en fonction de ce qu’il trouve. Mieux, «pour réaliser certaines actions "bruyantes", comme lire un fichier de la machine, Casper choisira une méthode différente en fonction de quel antivirus s’exécute sur l’ordinateur», détaille Joan Calvet.

Pour accéder aux ordinateurs, Casper utilise deux failles alors inconnues, appelées de «zero day», dans Flash. C’est ce qui permet en quelque sorte d’ouvrir les portes des ordinateurs cibles puis, dans un deuxième temps, de collecter les informations. Quant à ce qui est fait de ces informations, Eset n’en a pour l’instant aucune idée. D’autres programmes, non identifiés, prennent le relais. Ce cloisonnement (ouverture, renseignement, exploitation) souligne là encore l’habileté de ses concepteurs.

Brouillage des pistes

La principale inconnue concerne les cibles réelles. Le chercheur s’interroge sur l’opportunité de piéger un tel site (jpic.gov.sy), destiné à transmettre des plaintes aux autorités syriennes. Il juge peu crédible que les attaquants aient ciblé précisément les utilisateurs de ce site. «C’est peut-être un choix d’opportunité, suppose Joan Calvet. Un récent piratage de ce site a montré que sa sécurité était défaillante. Le site est hébergé en Syrie, ce qui le rend accessible même si la connexion internet vers le reste du monde est coupée.» Sans oublier le brouillage des pistes : le virus est installé sur un site gouvernemental syrien, les regards se tournent donc en premier vers le régime de Bachar al-Assad, coutumier des attaques informatiques contre ses opposants.

Par hypothèse, Joan Calvet en déduit que les victimes étaient peut-être redirigées vers le site infecté à partir d’une autre source, comme un lien malicieux dans un email par exemple. «Toutes les victimes ciblées étaient en Syrie», affirme le chercheur. Ses concepteurs, probablement pas.