Babar, un malware espion créé par la DGSE française ?

0
170

Découvert par une agence de renseignement canadienne (Communications Security Establishment Canada, CSEC) et étudié par G Data, il semblerait que ce malware sophistiqué destiné au cyber-espionnage soit l’œuvre de la DGSE française.

Paul Rascagnères, de l’entreprise allemande G Data, n’accuse pas directement la DGSE. Selon lui, « l’attribution de l’origine, surtout dans le cas d’un malware professionnel, est toujours difficile », et aucune nouvelle preuve n’a été découverte. En revanche, il estime que « l’assertion canadienne sur une implication des services de renseignement français reste inchangée », notamment à cause « d’indices dans le code» du logiciel, comme l’emploi du terme «ko» pour «kilo-octet» au lieu de «kb» pour «kilobyte » en vigueur dans de nombreux pays.

babar-canada

Selon le Monde, le malware aurait été développé par des services dédiés de la DGSE (sécurité extérieure), qui n’en seraient pas à leur coup d’essai.

Cible : les messageries instantanées

Babar n’a qu’un seul but : permettre l’écoute silencieuse de la plupart des systèmes de messagerie instantanée telles que Skype, Yahoo Messenger et MSN. De nombreuses interfaces étaient alors écoutées, du clavier en passant par le micro et les hauts-parleurs ainsi que l’affichage écran.

La cible était vraisemblablement l’Iran mais le malware a aussi été repéré en Algérie, en Égypte, en Côte-d’Ivoire, en Norvège, en Grèce, en Espagne et au Canada. Victimes collatérales ? Personne ne peut l’affirmer aujourd’hui. Reste que Babar s’avère être un kit d’espionnage moins sophistiqué que Stuxnet, le ver créé par les USA dans un but identique ou même de Regin.

Campagne d’espionnage ciblé

Le malware dériverait de Evil Bunny, et serait dans la même branche de programme, créé par les même développeurs, comme l’explique la chercheuse de Cyphort Marion Marschalek. Le nombre de machines infectées est plutôt restreint et choisi. Autre découverte du CSEC, les centres de commande et de contrôle du malware sont tous disposés au Moyen-Orient.

« Les deux familles de virus sont issues des mêmes développeurs et appartiennent à l’opération “Snowglobe” », le nom donné à la campagne d’espionnage par le CSEC, écrit l’entreprise GData dans un rapport.

Quoi qu’il en soit, rien d’étonnant dans cette affaire, puisque chaque pays dispose de ses propres outils de cyber-espionnage, et que la France à de bonnes compétences en ce domaine.