Casper, un logiciel espion français ?

Ce logiciel apparaît lié à plusieurs autres utilisés depuis au moins 5 ans dans le cadre d’une opération pour laquelle le Canada soupçonne la France.

Casper est un logiciel espion qui a été utilisé contre des cibles syriennes en avril 2014. Eset le décrit, dans un billet de blog, comme « un outil de reconnaissance bien développé », marqué par des efforts importants en faveur de sa furtivité.

Dans son billet, Joan Calvet, chercheur chez Eset, explique que le logiciel a été propagé en utilisant une vulnérabilité Flash alors inédite, en compromettant un site Web du ministère de la justice syrien. Mais il explique surtout que le module de propagation commence par chercher le nom de l’antivirus installé sur la machine du visiteur, adaptant son comportement en conséquence.

La charge utile présente le même comportement. Pour Eset, cela explique « pourquoi pratiquement aucun anti-virus ni suite logicielle de sécurité n’était capable de détecter [Casper], excepté Eset LiveGrid ».

Lié à d’autres logiciels malveillants connus

Fantome

Un effort isolé ? Non, explique Joan Calvet. Le chercheur s’est intéressé aux « code et algorithmes inhabituels partagés par Casper » avec d’autres logiciels malveillant. Et de présenter 5 éléments partagés avec Nbot, « dont les liens avec Babar et Bunny ont été établis par Marion Marschalek dans son rapport sur Babar ».

Certes, pour Eset, « aucun de ces signes, seul, n’est suffisant pour établir un lien fort ». En prenant en compte toutes les similitudes, « nous pouvons estimons avec une grande confiance que Bunny, Babar, Nbot et Casper ont tous été développés par la même organisation ».

Dans son analyse publiée fin février dernier, Marion Marschalek attribue Babar à un « état-nation ». Elle décrit le logiciel malveillant comme « visant à exfiltrer presque tout ce qui a une valeur : il vole des données issues de messageries instantanées, de téléphones IP logiciels, de navigateurs, et d’applications bureautiques ».

La France soupçonnée

Pour Marion Marschalek, le nom du logiciel malveillant renvoie à des documents publiés par Der Spiegel en janvier 2014, ainsi que par Le Monde, en provenance du Centre de la sécurité des télécommunications du Canada (CSEC)

Ceux-ci mentionnent un logiciel au nom interne… « Babar ». Un logiciel malveillant découvert fin 2009 et lié à une opération baptisée Snowgloble. Comme le relève Paul Rascagnères, chez G Data, le CSEC estime « avec une certitude modérée que Snowglobe est un effort soutenu par un état, poussé par une agence française du renseignement ».

Interrogée à l’époque par nos confrères du Monde, la DGSE s’était refusée à tout commentaire.

Reste qu’après analyse approfondie, « les experts de G Data sont sûrs d’avoir trouvé des échantillons qui correspondent aux descriptions » du CSEC. Alors, certes, Paul Rascagnères souligne « qu’attribuer un logiciel malveillant de n’importe quelle origine est toujours très difficile, en particulier avec des logiciels spécialisés et professionnels ». Pas question donc d’affirmer que les services de renseignement français sont à l’origine de Casper.

Mais ces descriptions « marquent une étape importante vers la validation des diapositives » du CSEC et donc, vers l’attribution de l’opération Snowglobe à la France.

Pour approfondir sur Cyberdéfense