Le week-end dernier, Symantec, l’éditeur de l’anti-virus du même nom, a publié des détails sur un nouvel élément qu’il avait récemment détecté, intercepté et décodé, dans la longue liste des logiciels malveillants.
Plusieurs autres éditeurs d’anti-virus ont publié peu de temps après leurs propres communiqués sur cette pièce de pointe parmi les logiciels malveillants.
Regin, un outil d’espionnage sophistiqué, a très probablement été l’œuvre d’un État occidental, disent les experts. Ce malware peut entre autres choses, faire des saisies d’écran, voler les mots de passe, ou même prendre le contrôle de la souris et du clavier.
Selon Symantec :
« Le développement et le fonctionnement de ce malware aurait nécessité un important investissement de temps et de ressources, ce qui indique que c’est un État qui en est le responsable. Sa conception le rend très adapté pour des opérations de surveillance à long terme sur des cibles bien identifiées. »
Vu l’ampleur du travail consacré à ce programme, il est peu probable que ce soit des pirates indépendants et non-étatiques qui en soient à l’origine. « Il est probable que son développement a pris des mois, sinon des années, pour aboutir », a déclaré Symantec, « et ses auteurs ont fait de grands efforts pour dissimuler ses traces. »
Des implantations de Regin ont été trouvés en Algérie, en Afghanistan, en Belgique, au Brésil, dans les Fidji, en Allemagne, en Iran, en Inde, en Indonésie, dans les Kiribati, en Malaisie, au Pakistan, en Syrie et en Russie, selon Kasperskey, un fournisseur d’anti-virus russe. Symantec affirme que la majorité des machines ciblées étaient localisées en Russie et en Arabie saoudite.
Bien que les éditeurs d’anti-virus n’ont pas nommé explicitement le coupable (en l’absence d’un « pistolet fumant », ils ont tendance à s’en abstenir), mon hypothèse de travail est qu’Israël est susceptible d’avoir été impliqué dans la création et/ou d’exploitation de ce projet. Un expert a déclaré au Guardian : « il n’y a pas d’autre pays auquel je puis penser », hormis les États-Unis, le Royaume-Uni ou Israël, qui aurait pu créer Regin. Je suis d’accord avec l’idée que ce sont les coupables les plus probables.
En mai 2012, une cyber-menace très similaire a été découverte, surnommée Flame ou Flamer. Comme Regin, Flame a été conçu pour espionner des ordinateurs bien définis (plutôt que de les saboter, au contraire d’un autre infâme malware appelé Stuxnet). Comme Regin, Flame a été retrouvé sur les ordinateurs dans les États du Moyen-Orient. Comme Regin, Flame a été conçu en utilisant une conception modulaire sophistiquée et flexible. Ces deux virus font un usage avancé de la cryptographie, ce qui leur a évité toute détection pendant des années.
Lorsque j’ai parlé de Flame en 2012, ma conclusion avait été qu’il était probablement une création de la National Security Agency (NSA) des États-Unis, avec les Israéliens comme partenaires. Ces derniers sont également susceptibles de l’avoir exploité.
Les Israéliens et la NSA ont également travaillé ensemble sur Stuxnet, la cyber-arme qui a saboté physiquement une installation iranienne de gestion d’énergie nucléaire en 2008 et 2009. Comme je l’ai expliqué dans mon analyse à l’époque, Flame et Stuxnet, bien que très différents à bien des égards, partagent un code identique dans certaines parties clés. Il semble probable que les deux malware faisaient partie de la même vague de guerre cybernétique autorisée par le George W. Bush puis l’administration Obama.
Depuis lors, le dénonciateur de la NSA, Edward Snowden, a confirmé que Stuxnet a été co-développé par la NSA et Israël. Il semble plus que probable que Flame ait également été créé par les États-Unis et Israël, et les similitudes entre Flame et Regin suggèrent que cette nouvelle menace cybernétique a également été créée par les deux alliés, en particulier lorsque l’on considère ses objectifs.
Le cabinet russe de cybersécurité Kasperskey, explique dans son analyse de Regin que les principales victimes étaient « les opérateurs de télécommunications, les gouvernements, les institutions financières, les organismes de recherche, les organismes politiques au niveau international et les individus impliqués dans la recherche avancée en mathématique et cryptographie. » Ainsi, plutôt que le type de surveillance de masse mis en œuvre par la NSA (qui comme nous le savons maintenant, grâce à Snowden, pompe à peu près tout ce qui circule sur l’Internet), Regin fait un ciblage plus précis, plus fin. Sa conception modulaire fait que ses capacités peuvent être élargies facilement et définies très précisément selon le type de cible.
Quelque chose qui semble nouveau avec Regin est la façon dont il cible aussi les réseaux de téléphonie mobile. Selon Kaspersky : « Un module Regin particulier est capable de surveiller des station de base GSM, de collecter des données à l’intérieur des cellules GSM et à travers l’infrastructure du réseau. »
Il est trop tôt pour dire qui est exactement derrière cette nouvelle cyber-menace, mais il est possible que Regin a été utilisé partiellement comme un remplaçant de Flame. Lorsque ce dernier a été exposé au grand jour par Kaspersky en 2012, ses logiciels d’anti-virus ont intégré un arrêt d’urgence du malware. Regin pourrait alors avoir été utilisé par le même agresseur comme un outil de remplacement.
La complexité de Regin explique pourquoi il a fallu des années aux entreprises de cyber-sécurité pour réussir à comprendre ce qu’ils avaient entre les mains. C’est pourquoi rien n’a été révélé au monde jusqu’à ce week-end dernier, malgré le fait que ce virus était soumis à l’étude depuis 2008, voire plus tôt.
En outre, même si Regin va maintenant commencer à être ciblé par les logiciels anti-virus, toute la force de la menace n’a pas encore été découverte. Symantec, pour sa part, estime que « de nombreux composants de Regin restent à découvrir, et des fonctionnalités et versions supplémentaires peuvent exister. »