« Dans le monde des virus informatiques, rares sont les exemples qui peuvent être réellement considérés comme révolutionnaires. Ce que nous avons là en fait partie. » C'est par cette phrase, volontairement grandiloquente, que débute le dernier rapport de l'entreprise de sécurité informatique Symantec, publié dimanche 23 novembre, et dans lequel elle révèle avoir découvert un virus espion d'une complexité inédite, baptisé « Regin ».

Ce virus fait preuve d'une « compétence technique rarement vue » et « son développement a certainement duré des mois, sinon des années », insistent les experts de Symantec. Pour les chercheurs, une conclusion s'impose : étant donné « les capacités et le niveau de ressources derrière Regin », il s'agit ni plus ni moins « d'un des principaux outils de cyberespionnage d'un Etat ».

Une conclusion explosive à laquelle s'est ralliée, lundi, son principal concurrent, la firme russe Kaspersky, qui s'est elle aussi penchée sur Regin. Dans son propre rapport, elle décrit également un virus développé avec le financement et les moyens techniques d'un Etat.

Qui est responsable ?

Aucune des deux entreprises ne se risque à désigner un responsable, la tâche étant complexe, surtout quand les concepteurs ont pris grand soin de brouiller les pistes. Les pays capables de mener une opération de renseignement électronique de grande ampleur se comptent sur les doigts de la main. Ils sont encore moins nombreux à être capables de développer un outil aussi précis que Regin.

Par sa sophistication, ce dernier rappelle cependant d'illustres précédents, comme les virus Flame ou Stuxnet. Or ces deux virus étaient bien d'origine étatique : le second a été développé par les Etats-Unis et Israël et devait ralentir le programme d'enrichissement d'uranium iranien.

Lire : Les renseignements américains auraient lancé 231 cyberattaques en 2011

« On ne fait pas d'attribution tant que l'on n'a pas de faits concrets, de preuves irréfutables », se justifie Candid Wueest, chercheur à Symantec qui a participé à l'analyse de Regin, « mais il est certain qu'on peut tirer des conclusions ».

Un chercheur en cryptographie ciblé

Regin est un outil multifonction, si l'on en croit la liste des cibles que sont parvenues à repérer Symantec et Kaspersky. Des opérateurs télécom, des institutions gouvernementales ou financières, répartis dans de nombreux pays, avec une préférence pour la Russie et l'Arabie saoudite, ont été touchés par Regin.

Plus étonnant : selon Kaspersky, Regin s'en est pris à Jean-Jacques Quisquater, chercheur belge en cryptographie. Interrogé par le site 01Net en février, il expliquait qu'un programme avait été découvert sur son ordinateur, et qu'il communiquait avec le logiciel qui avait pénétré la firme de télécommunications Belgacom. Une attaque que le magazine allemand Der Spiegel, sur la base de documents Snowden, avait attribué au Government Communications Headquarters, l'équivalent britannique de la National Security Agency, l'agence de renseignement américaine.

Le programme espion s'est particulièrement intéressé aux réseaux téléphoniques, vraisemblablement, selon M. Wueest, pour infecter d'autres cibles et collecter davantage d'informations.

« Surveillance de masse »

Selon Symantec, ce virus dispose de « puissants outils de surveillance de masse » : il peut capturer l'image affichée à l'écran de la cible, subtiliser des mot de passe ou surveiller le trafic Internet. Mais ça n'est pas tout : près de cinquante « modules », et donc autant de fonctionnalités de surveillance, dont les chercheurs ne connaissent pas toutes les modalités, cohabitent au sein de Regin.

Son organisation en briques rend son analyse extrêmement complexe. De fait, à l'issue de près d'un an d'analyse du virus, Symantec et Kaspersky soulèvent davantage de questions qu'ils n'apportent de réponses. « Même lorsque sa présence est détectée, il est très difficile de savoir ce qu'il fait, reconnaissent les experts de Symantec. De nombreux composants de Regin restent inconnus et d'autres fonctionnalités existent sans doute. »