Casper, le logiciel qui espionne la Syrie

En février, on faisait la connaissance de Babar, un « malware » chargé de collecter des informations qui étaient ensuite récupérées sur des serveurs installés en Turquie, en Algérie, en Égypte et en Iran (Le Soir du 19 février). Mais on ignorait alors que Babar avait un cousin syrien. Selon une analyse réalisée par la branche canadienne d’Eset, une firme slovaque spécialisée en sécurité et dont Le Soir a pu prendre connaissance, on découvre à présent un nouveau logiciel espion, actif en Syrie. Son nom : Casper. De fortes présomptions laissent penser que tout comme Babar, Casper pourrait être contrôlé par les services secrets français.

Selon le rapport d’Eset, le logiciel malveillant a été utilisé dans une opération ciblée en Syrie au milieu du mois d'avril 2014. Le serveur sur lequel Casper était hébergé est un site appartenant au ministère de la Justice, toujours accessible aujourd’hui.

Utilisation des failles de Flash

Pour attaquer leurs victimes, les opérateurs de Casper ont utilisé des failles de Flash, un logiciel populaire qui est utilisé en complément avec la plupart des navigateurs web. Très bien informés, les attaquants avaient connaissance de cette vulnérabilité qui n’avait pas encore été rendue publique, à l’époque. L'utilisation de failles de sécurité d’un tel calibre montre que le groupe derrière Casper est de haut niveau, note le rapport d’Eset.

Une des particularités de Casper est sa remarquable discrétion. « Il adapte son comportement de façon très précise en fonction de l'antivirus qui s'exécute sur la machine où il est installé, explique Joan Calvet, l’analyste québécois qui a réalisé l’étude d’Eset. Par exemple, il préférera simplement ne pas contacter son contrôleur, ou même s'autodétruire, en présence de certains antivirus, plutôt que de prendre le risque d'être repéré. L'effort de développement pour arriver à un tel résultat et pour comprendre comment chaque antivirus surveille le système a dû être très intense ».

Une autre particularité montre le souci de Casper de jouer les logiciels fantômes. Ses opérateurs ne l’ont fait travailler sur le serveur syrien que durant une très brève période.« L’opération commence début avril 2014 et se termine le 16, note Joan Calvet. Peut-être à cette date avaient-ils atteint leur objectif et ont-ils décidé de stopper l’activité de Casper pour éviter que le logiciel malveillant ne soit détecté trop vite ».

Quel rôle a-t-on fait jouer à Casper ?

Selon Eset, il s’agit d’un outil de reconnaissance, c'est-à-dire qu'il permet aux opérateurs de déterminer si la victime est d'intérêt pour eux, avant d'aller plus loin. Lorsqu'il est exécuté, Casper construit un rapport détaillé sur la machine infectée, qu'il envoie ensuite à son contrôleur. C'est à partir de ce rapport que les opérateurs peuvent décider des prochaines étapes. En particulier, Casper permet aux opérateurs de déployer d'autres programmes liés. « Nous n'avons trouvé aucun de ces programmes complémentaires pour l’instant, explique le chercheur québécois. C'est certainement là que résident les capacités d'espionnage, qui sont donc réservées aux machines ayant suscité l'intérêt des opérateurs ».

Durant cette opération d'avril 2014, seules quelques personnes ont été ciblées par Casper, et elles étaient toutes en Syrie, d'après les données d'Eset. On ignore encore comment les victimes ont été poussées à se connecter au serveur piégé. La piste d’un courrier électronique dans lequel se trouvait un lien vers le serveur n’est évidemment pas à exclure.

Difficile de déterminer qui contrôle Casper

Difficile également de déterminer qui sont les « contrôleurs » de Casper. Le fait d’avoir choisi un le serveur d’une institution officielle en Syrie devait probablement permettre de cibler plus aisément des personnes se trouvant dans ce pays à cette époque, sachant que les connexions internet avec le reste du monde ont été coupées à plusieurs reprises depuis le début de la guerre. Cela permettait également de brouiller les pistes en faisant des autorités syriennes le suspect « naturel ».

« La seule chose que l’on peut affirmer avec un bon degré de certitude, c’est que Casper a été développé par la même organisation qui a réalisé le logiciel malveillant Babar,note Joan Calvet. Il y a des parties du code du programme très spécifiques que l’on retrouve dans Casper, Babar et un troisième logiciel encore, Bunny. Il se pourrait même que ces trois noms de codes se rapportent à des versions successives d’un seul et unique programme ».

L’an dernier, Le Monde avait dévoilé un document faisant écho aux informations du lanceur d’alertes Edward Snowden. Ce document, émanant des services de renseignement canadiens (le Communication Security Establishment Canada), révélait l’existence d’un « malware » pouvant être utilisé par la France. Il s’agissait de Babar. À l’époque, le gouvernement français s’était abstenu de tout commentaire. Mais après de longues recherches, un analyste de la firme allemande G Data, Paul Rascagnères et une spécialiste autrichienne en sécurité, Marion Marschalek, épinglaient dans le code de Babar des indications linguistiques propres aux techniciens français.

« On a l’impression que pour Casper, les développeurs ont fait un effort pour corriger les signes particuliers qui pouvaient trahir leurs origines, précise Joan Calvet. Mais les similitudes du code informatique lui-même laissent peu de place au doute sur une origine commune ».