Kaspersky Lab, un fabricant de logiciels de sécurité basé à Moscou, a mis la main sur un arsenal de malwares ultrasophistiqués dont les traces remontent à une agence d'espionnage américaine. Après des mois d'enquête, les chercheurs en sécurité de Kasperky ont mis la main sur une série de logiciels d'espionnage aussi complexes que Stuxnet, utilisés par un groupe qu'ils ont baptisé « Equation Group ». Celui-ci est actif depuis au moins 2001, utilise un vaste réseau de serveurs de commande et contrôle, plus d'une centaine, et a infecté plusieurs dizaines de milliers postes partout dans le monde. Vous l'aurez compris : derrière « Équation Group » se cache en réalité... la NSA. Kaspersky ne peut pas l'affirmer à partir des éléments en sa possession, même si beaucoup d'indices pointent dans cette direction. Toutefois, cela a été confirmé par un ancien membre de l'agence américaine. Le doute n'est donc pas possible. «L'un des groupes menant les cyber-attaques les plus sophistiquées» vient d'être identifié, a annoncé mardi l'éditeur d'antivirus Kaspersky, lors d'une conférence tenue à Cancún, au Mexique. Le groupe, nommé «Equation» par Kaspersky en hommage au goût du mystérieux collectif pour les algorithmes de chiffrement, a développé au moins sept logiciels malveillants, tous analysés dans le rapport. Certains existent depuis plus de vingt ans. Tous sont remarquables par leur complexité. Officiellement, Kaspersky se garde de rattacher Équation à une organisation ou un État. Mais le petit nouveau présente des similitudes troublantes avec la plus puissante des agences de renseignement sur les réseaux : la NSA, l'Agence de sécurité nationale américaine. Même type que Stuxnet La NSA a réalisé une percée dans ses techniques d'espionnage, en incrustant un logiciel de surveillance dans des disques durs fabriqués par de grands manufacturiers, selon Kaspersky. Ce type d'attaque très avancée a par exemple été utilisé contre les centrifugeuses d'enrichissement en uranium du site de Natanz, en Iran. Une attaque justement attribuée à la NSA, en collaboration avec les services israéliens. Le virus, appelé Stuxnet, aurait permis de ralentir le programme nucléaire iranien d'au moins cinq ans. Stuxnet, le ver informatique conçu par la NSA, avait réussi à désactiver environ 1.000 centrifugeuses du programme d'enrichissement d'uranium iranien. Or les deux virus présentent de nombreuses similitudes. Baptisé Fanny, ce ver était logé au cœur même du firmware des disques durs. Il aurait tout d'abord été dissimulé d'abord dans les disques durs vendus par des grandes marques, notamment Western Digital, Seagate, Toshiba, IBM et Samsung. Par la suite, le ver se dupliquait sur les machines et supports branchés au disque. « Le disque dur est capable d'infecter l'ordinateur et tout ce qui lui est branché », explique le chercheur Costin Raiu. Selon Kaspersky, Fanny a infecté « des milliers d'ordinateurs, voire des dizaines de milliers d'ordinateurs » à travers le monde dans le but d'espionner tous les faits et gestes, mais aussi pour voler n'importe quel document. Les machines qui sont contrôlées à distance ont été « minutieusement sélectionnées », les cibles étant des sociétés de télécommunication, des banques, des entreprises du secteur de l'énergie, des chercheurs dans le nucléaire, des médias et des activités islamistes, le plus souvent à l'étranger. Kaspersky précise que la plupart des ordinateurs infectés sont localisés en Iran, en Russie, au Pakistan, en Afghanistan, en Chine, au Mali, en Syrie, au Yémen et en Algérie, ce qui accrédite l'espionnage étatique, sans désigner publiquement la NSA. « Ce groupe est extrêmement puissant et utilise des outils très complexes et coûteux pour infecter ses victimes ». L'ancêtre Fanny Pour Kaspersky, il ne fait donc aucun doute que Fanny est l'ancêtre de Stuxnet. «Les développeurs sont soit les mêmes, soit coopèrent étroitement», note l'éditeur d'antivirus, qui ne va pourtant pas jusqu'à désigner nommément la NSA. Une autre attaque, elle aussi particulièrement complexe, ressemble fortement à une performance connue et documentée de la NSA. Nommé GrayFish, ce programme loge du code malveillant dans la partie «qui contrôle les disques durs, les «firmwares»», indique un expert français en sécurité informatique. Une performance technique particulièrement impressionnante selon Kaspersky. Les principaux fabricants de disques durs sont concernés par cette attaque, quasiment impossible à détecter. Selon deux anciens membres de l'agence de renseignement, la NSA a «les moyens d'espionner la majorité des ordinateurs dans le monde». Les programmes d'espionnage, ciblant les gouvernements et institutions militaires, les entreprises de télécommunication, les banques, les entreprises énergétiques, et les médias, entre autres, ont infecté des ordinateurs dans 30 pays, a mentionné Karspersky. Selon Kaspersky, dans cette technique hautement secrète et développée depuis longtemps, les implants, creusant très loin dans le système informatique, infectent le «micro-logiciel», soit le logiciel intégré qui prépare le disque dur de l'ordinateur avant le démarrage du système d'opération. Il est pratiquement impossible de les enrayer avec des produits anti-virus existants, a indiqué Kaspersky. Ces dernières découvertes pourraient saper la crédibilité des États-Unis, en terme de sauvegarde de la cyber-sécurité, déjà affectée par les fuites du fugitif américain Edward Snowden. Cette révélation pourrait également affecter les ventes de technologies américaines à l'étranger et détériorer les relations des États-Unis avec certains de leurs alliés.
