On en sait plus sur le curieux logiciel espion «Babar», qui serait l'œuvre des renseignements français. Plusieurs chercheurs en sécurité informatique ont pu décortiquer un échantillon du virus. Ils ont publié ce mercredi 18 février un rapport détaillé sur les caractéristiques techniques de ce logiciel malveillant. Babar a été découvert en 2009 par le Centre de la sécurité des télécommunications du Canada (CSEC), dont les mémos ont été révélés par le journal Le Monde il y a près d'un an, grâce à des documents communiqués par Edward Snowden.

• Espionner les messageries instantanées

Les rapports qui viennent d'être publiés montrent de nouvelles caractéristiques techniques de Babar «Le but de ce logiciel malveillant est l'espionnage et en particulier les messageries instantanées», explique au Figaro Paul Rascagnères, auteur de l'un des rapports pour l'entreprise allemande GData. Il s'agit «de récupérer ce qui est tapé sur le clavier [ce que l'on appelle un keylogger]», mais Babar est aussi «capable d'écouter le microphone et haut-parleur de l'ordinateur», ajoute Paul Rascagnères.

Le logiciel visait notamment les messageries Skype, MSN et Yahoo messenger. Il est aujourd'hui connu et détecté par les antivirus. Babar n'a pas été utilisé pour de l'espionnage massif, mais plutôt pour l'écoute de cibles spécifiques. Le chercheur précise que des données ont transité sur des serveurs en Iran, en Algérie ou en Egypte par exemple, qui pourraient être proches des premières cibles. Les mémos du CSEC indiquaient l'Iran comme une des principales victimes. Par ailleurs, les services canadiens ont identifié de possibles cibles en Grèce, en Espagne, en Côte d'Ivoire mais aussi en France.

• Un espion peu perfectionné

Selon Paul Rascagnères, Babar n'a rien à voir avec les logiciels malveillants très puissants comme Equation, développé avec beaucoup plus de moyens par l'agence de renseignements américaine (NSA), et dévoilé mardi par Kaspersky. «Je pense honnêtement que cela a été fait par une équipe avec peu de moyens», explique-t-il. Le logiciel n'est pas très discret non plus, «il ne se cache pas outre mesure» ajoute le chercheur.

• Un outil similaire nommé EvilBunny

Les chercheurs sont parvenus à identifier un autre logiciel malveillant très similaire à Babar, nommé EvilBunny. «Bunny est une vieille version de Babar découverte par Marion Marschaleck [une chercheuse de la société Cyphort et auteur du rapport]», précise Paul Rascagnès. Dévoilé en octobre, ce logiciel n'a pas de fonctionnalités faite pour l'espionnage, contrairement à Babar. EvilBunny sert principalement à contrôler un ordinateur à distance. Il a été découvert grâce à des similitudes dans ses caractéristiques techniques. Le chercheur mentionne par exemple «du code source copié/collé».

• Qui est derrière Babar?

Les services de renseignement techniques canadiens ont soupçonné la France et la Direction générale de la Sécurité extérieure (DGSE). Comme souvent, il n'y a pas de preuve formelle, mais un faisceau d'indices. Le mémo du CSEC rappelle que Babar est un personnage pour enfants français. Le surnom «titi» apparaît dans les caractéristiques techniques d'un outil. Le document indique alors que «Titi est un diminutif français pour Thierry (sic), ou le terme familier pour une personne de petite taille». Les mémos mentionnent l'utilisation dans le code des mesures en «octets» au lieu des «bytes», un usage typiquement français. Par ailleurs, un média francophone au Canada aurait été visé par le logiciel espion. «La France est aussi active que les gros acteurs [de l'espionnage informatique]», affirme Marion Marschalek au site Motherboard.

En revanche, le mémo comme les récents rapports des chercheurs ne peuvent pointer du doigt un commanditaire. «Les auteurs ne sont pas anglophones, car il y a trop d'erreurs de langue, mais je ne peux rien conclure d'autre», précise Paul Rascagnères. En la matière de piratage informatique, les preuves sont facilement falsifiables, rappelle Marion Marschaleck.