«Babar», le logiciel espion français qui sévit au Moyen-Orient

Le logiciel malveillant, utilisé pour espionner des individus ciblés au Moyen-Orient, subtilise des documents stockés sur les ordinateurs.

Journaliste au service Enquêtes Temps de lecture: 3 min

Un logiciel malveillant, répondant au doux pseudonyme de Babar, a été utilisé pour espionner un petit lot de personnes extrêmement ciblées dans plusieurs pays du Moyen-Orient. De très fortes présomptions laissent penser que la France est l’opérateur voire le programmeur de ce « malware ».

Tout commence par un document dévoilé par Le Monde l’an dernier, faisant écho aux informations du lanceur d’alertes Edward Snowden. Ce document, émanant des services de renseignement canadiens (le Communication Security Establishment Canada), révélait l’existence d’un « malware » pouvant être utilisé par la France. Le nom de ce programme : Babar.

Des intentions très spécifiques

À l’époque, le gouvernement français botte en touche et s’abstient de commenter la fuite. Mais l’hypothèse d’un tel logiciel espion intrigue plusieurs firmes de sécurité dont G Data, un éditeur allemand d’antivirus. Après de longues recherches, G Data a découvert des traces précises d’infections par Babar sur les ordinateurs de plusieurs personnes. « Il s’agit de personnes extrêmement ciblées, explique Paul Rascagnères, un analyste de G Data qui a remonté Babar à la trace et avec qui nous avons pu entrer en contact ce mercredi matin. On n’est pas dans un cas de figure où un logiciel malveillant tente de se loger dans la moitié des ordinateurs de la planète ».

Manifestement, les intentions de l’attaquant étaient très spécifiques et son espoir était de ne pas être trop aisément détecté en se démultipliant sur un trop grand nombre d’ordinateurs.

L’une des fonctions de Babar, sur les machines infectées, est de subtiliser des documents qui y sont stockés. « Ces informations sont ensuite stockées sur des serveurs relais, en Algérie, en Égypte, en Iran et en Turquie, sur lesquels l’attaquant a le contrôle et où il peut les récupérer », poursuit l’analyste de G Data.

Un « attaquant » très hexagonal

Comment ces serveurs ont-ils pu devenir des relais pour récupérer les documents subtilisés ? « Il y a plusieurs possibilités, note G Data. La plus évidente est d’utiliser une vulnérabilité de serveurs existants dans ces pays et d’y opérer en toute discrétion les opérations de récupération. Mais on ne peut pas non plus exclure l’hypothèse de serveurs mis en place dans ce seul but au sein d’entreprises écrans actives dans certains de ces pays. Nous n’avons pas de vue précise sur le mode opératoire utilisé ».

G.Data se contente de parler d’un « attaquant » sans mettre en cause un État ou une organisation en particulier. Mais un faisceau de présomptions laisse penser qu’il s’agit bel et bien de la France. Si l’on met à part le nom de code du logiciel, Babar, d’autres éléments semblent pointer vers les services de renseignement français. Les slides dévoilés par Edward Snowden montrent en effet que les échanges informatiques laissent apparaître des indications techniques propres aux techniciens français.

Par exemple, on parle ko (pour kilo-octets) alors que dans le reste du monde on parle plus volontiers de kB (kilobytes). Le choix des mots dans les documents montre également que l’on ne se trouve pas en présence de personnes dont l’anglais est la langue maternelle.

Le fil info

La Une Tous

Voir tout le Fil info
Sur le même sujet La Une Le fil info

Allez au-delà de l'actualité

Découvrez tous les changements

Découvrir

À la Une