Info

Projet Sauron : révélation d'une plateforme de cyber-espionnage internationale

Comme l'œil de Sauron de Tolkien, le logiciel Remsec alias ProjectSauron peut tout voir des ordinateurs sur lesquels il est installé. (Illustration : ThinkStock/tusumaru)

Le logiciel malveillant Remsec renommé "Projet Sauron" vient d'être dévoilé par deux entreprises spécialisées dans la détection de virus informatiques. Cet outil dévoile un peu plus les possibilités d'espionnage numérique à l'échelle mondiale, sans que l'on sache encore précisément qui se cache derrière ce logiciel fortement spécialisé, très malveillant et très difficile à détecter.

dans
Au moins trente-six ordinateurs de sept organisations publiques ou privées ont été infectés, dans plusieurs pays par Sauron. Ce nom a été donné à une fonction de "Key Logger" (enregistrement des frappes du clavier) intégrée dans un cheval de Troie (trojan) nommé Remsec. Ce logiciel malveillant (qui ne fonctionne que sous Windows) a été dévoilé il y a deux jours par les équipes des entreprises d'antivirus Symantec et Kaspersky. 

Le terme malware regroupe tous les logiciels malveillants installés à l'insu de l'utilisateur. (Illustration : ThinkStock/andriano_cz)
Le terme malware regroupe tous les logiciels malveillants installés à l'insu de l'utilisateur. (Illustration : ThinkStock/andriano_cz)
Sauron est le nom du maître du Mordor dans la trilogie littéraire Le Seigneur des anneaux de J.R.R Tolkien, une sorte d'entité qui peut tout "voir" grâce à son œil maléfique. La référence à Tolkien pourrait faire sourire si ce "logiciel malveillant" (malware) n'était rien d'autre qu'une nouvelle pièce de l'immense puzzle des virus informatiques présents par milliers dans le vaste cyber-monde. Sauf que Remsec/Sauron est tout sauf un cheval de Troie classique, et qu'il est en activité depuis cinq ans sans que personne n'ait été en mesure de le détecter durant les quatre dernières années : une très longue période dans l'univers de la sécurité informatique.

"ProjectSauron" : un cheval de Troie très spécialisé

Les équipes des entreprises d'antivirus Symantec et Kaspersky dévoilent aujourd'hui l'intégralité des fonctions du "malware" Remsec, alors que les premières infections détectées datent de septembre 2015. Ce décalage est dû à la difficulté qu'ont eu les spécialistes à repérer toutes les finesses et possibilités technologiques de ce qu'ils ont nommé le Projet Sauron (ProjectSauron).
La déclaration pour la fonction de KeyLogger qui porte le nom "Sauron" dans le code analysé par les chercheurs

Ce logiciel modulaire (il est possible d'ajouter des fonctions par modules pour les attaquants) est considéré comme une plateforme d'espionnage, selon les spécialistes de Kaspersky, qui n'ont pas encore déterminé la première source de contamination, mais décrivent le logiciel comme un petit bijou technologique : "ProjectSauron est une plate-forme modulaire de cyber-espionnage de haut niveau en termes de sophistication technique. Cette plateforme est conçue pour permettre des campagnes [de piratage] à long terme, par le biais de mécanismes furtifs de survie, couplés avec de multiples méthodes d'exfiltration [de données]".

(illustration : ThinkStock/the-lightwriter)
Ce logiciel espion peut être rangé dans la catégorie des chevaux de Troie, puisque sa fonction première est d'activer une porte dérobée sur une machine cible, permettant ensuite à des attaquants de prendre la main sur l'ordinateur à distance. Mais Remsec/Sauron va bien au delà des fonctions classiques de ce types de logiciels. ProjectSauron est très spécialisé, particulièrement dans ses fonctionnalités de récupérations de clés de chiffrements, de surveillance des réseaux, de copies de fichiers, de portes dérobées avancées.

Une plateforme conçue par, pour, et contre des Etats ?

SauronProject est un outil d'espionnage très avancé par ses capacités à s'adapter à ses cibles, selon les spécialistes. Il peut, par exemple, ne pas s'exécuter sur des disques dur mais seulement en mémoire, utiliser de multiples canaux réseaux pour exfiltrer les données, ce qui en fait un logiciel malveillant bien plus élaboré et complexe à détecter que ses congénères.

Le laboratoire d'analyse Kaspersky a identifié au moins une trentaine de structures contaminées par le Projet Sauron, dans plusieurs pays dont la Russie, l'Iran, ou encore le Rwanda. Selon eux, les cibles du logiciel malveillant d'espionnage sont avant tout des gouvernements, des infrastructures militaires, la recherche scientifique, les opérateurs de télécommunications et les institutions financières.

Qui se cache derrière la plateforme d'espionnage ProjectSauron ? Certainement un groupe nommé Strider, financé et à la solde d'un Etat, selon les chercheurs en sécurité. (Illustration: ThinkStock/LagartoFilm)
L'enquête informatique menée par Symantec détermine, quant à elle, que Remsec aurait été utilisé par un groupe de pirates nommé Strider. Cette équipe, très discrète et active depuis 2011, pratiquerait des opérations s'attaquant à des cibles intéressant particulièrement les services de renseignement gouvernementaux. Selon Symantec, le groupe Strider aurait utilisé Remsec de façon "hautement sélective" : seuls 36 ordinateurs auraient été ciblés par le groupe, dans 4 pays différents : une compagnie aérienne chinoise, des organisations et des particuliers localisés en Russie, une organisation suédoise, et… l'ambassade de Belgique.

Les révélations au sujet du projet Sauron confirment la possibilité d'attaques informatiques de très haut niveau absolument invisibles à vocation d'espionnage. Ce sont ces attaques qui sont les plus dangereuses, et les enquêteurs des Symantec comme ceux de Kaspersky posent aujourd'hui la question qui fâche : qui a les moyens de développer un outil aussi élaboré et capable de résister aux détections des meilleurs outils anti-virus ?

La réponse, pour les spécialistes, du côté de Kaspersky semble claire : "Le coût, la complexité, la persistence et l'objectif final de l'opération qui est de dérober des informations confidentielles et secrètes d'organisations étatiques sensibles, suggèrent l'implication ou le soutien d'un Etat".

Reste désormais à savoir lequel. Et combien d'autres machines au sein d'administrations sensibles sont touchées.