Alexis Chavetnoir
Plusieurs chercheurs en sécurité informatique, dont les services de renseignement canadien, ont publié un rapport sur « Babar », un outil capable d’espionner les messageries instantanées notamment à l’étranger. Les services de renseignement français sont pointés du doigt.
Les récents scandales des écoutes électroniques par les États-Unis, le Royaume-Uni ou encore la France révèlent les capacités d’espionnage de plus en plus efficaces en matière de « cyberguerre ». Aujourd’hui, c’est au tour de la France d’être montrée du doigt après la publication de deux études indépendantes qui mettent en lumière un logiciel d’espionnage baptisé « Babar », actif depuis plusieurs années, qui aurait été élaboré en France par un organisme public ou privé. Un logiciel malveillant capable d’écouter des conversations en ligne sur Skype, Yahoo Messenger et l’ex MSN.
« Babar » était déjà apparu dans une enquête du Centre de la sécurité des télécommunications du Canada (CSEC) en 2009, un service de renseignement technique, lors d’attaques coordonnées contre le programme nucléaire iranien.
Comment ça marche ? « Le but de ce logiciel malveillant est l’espionnage et en particulier l’écoute des messageries instantanées » explique Paul Rascagnières, l’un des auteurs du rapport. Une fois la cible infectée, le logiciel peut écouter les conversations en ligne via Skype ou Yahoo Messenger, enregistrer les touches pressées ou encore accéder à l’historique des sites visités.
Marion Marschaleck explique au site Motherboard que Babar n’est « pas très sophistiqué », mais un « très bon logiciel, au-dessus du niveau du type de produits qu’un analyste voit passer tous les jours ». Le logiciel n’est pas très discret non plus, « il ne se cache pas outre mesure », ajoute le chercheur. Il est en effet connu et détecté par les antivirus.
Si aucune preuve concrète ne peut accuser la France et la Direction générale de la Sécurité extérieure (DGSE), les services de renseignement techniques canadiens ont mis en avant plusieurs éléments qui pourraient justifier la provenance française du malware :
— le nom du malware dans sa dernière version est « Babar64 », une référence directe à l’éléphant des livres pour enfants de Jean de Brunhoff.
— le malware s’active et communique à partir d’un serveur déjà utilisé par deux autres logiciels, EvilBunny et TFC, dont les experts attribuent la paternité aux Français.
— les lignes de code qui composent le malware comportent des erreurs évidentes. Le terme « Octet » qui revient plusieurs fois est très français, car les Anglo-saxons comme les autres pays utilisent le terme « Byte » (équivalent de 8 bits).
Interrogé par Le Figaro, Paul Rascagnères conclut : « Les auteurs ne sont pas anglophones, car il y a trop d’erreurs de langue, mais je ne peux rien conclure d’autre. » Nos pirates informatiques auraient-ils besoin de quelques leçons d’anglais ?
Sources : Security Blog, Le Parisien