C’est une histoire tirée d’un roman d’espionnage, plutôt à la mode OSS 117. Un État fabrique un logiciel espion, le lance sur sa cible, un autre État. Celui-ci s’en rend compte, dissèque ledit logiciel dans le plus grand secret. Il décide ensuite de piéger l’attaquant, y parvient. À la fin, il publie un rapport avec les photos du pirate ennemi, obtenues en entrant dans son ordinateur.

Fin de la fiction. L’histoire est réelle. Le rapport a été publié en anglais la semaine dernière par l’agence d’échange de données géorgienne. Il pointe la main de la Russie dans une cyberattaque importante contre la Géorgie découverte en mars 2011. “Un acte de cyberespionnage” écrit l’agence dans son rapport qui détaille le modus operandi sophistiqué de l’attaque.

Informations confidentielles

Première étape : des sites d’informations géorgiens sont piratés. Le script malveillant placé sur ces pages infecte les ordinateurs des visiteurs. La pêche aux “informations confidentielles et sensibles” peut commencer. Étape deux : les ordinateurs piratés sont criblés pour dénicher les précieuses informations qui sont renvoyées (c’est l’étape trois) vers un serveur distant. Malins, les artisans de l’attaque changent régulièrement l’adresse du serveur.

Un jour sous surveillance

Les documents révélés par WikiLeaks laissent entrevoir le paysage de la surveillance. Un téléphone portable devient un ...

Non content d’obtenir ces documents – principalement word, powerpoint et pdf à propos des questions des relations avec les États-Unis ou l’Otan – les pirates peuvent avoir accès aux micros et caméra de l’ordinateur infecté. Des fonctionnalités sophistiquées, mais pas hors du commun à en croire le catalogue de certains marchands d’armes de surveillance…

390 ordinateurs ont été infectés détaille le rapport de l’agence géorgienne. Une immense majorité en Géorgie, et quelques 5% en Europe et en Amérique du Nord. Les autorités géorgiennes affirment avoir reçu l’aide de services étrangers (américains et allemands) ainsi que l’assistance de grandes entreprises comme la division cybersécurité de Microsoft. Une fois disséqué, le logiciel malveillant a permis de remonter à la source. Les autorités géorgiennes sont parvenues à identifier le pirate, et le prendre en photo avec sa webcam.

La moustache de Moscou

Pas peu fière, l’organisation chargée de la cybersécurité géorgienne raconte :

Nous avons trouvé un PC infecté dans notre lab, avons envoyé une fausse archive ZIP, intitulée “Georgian-Nato agreement’, qui contenait le virus. L’attaquant a dérobé cette archive et a exécuté le fichier malveillant. Nous avons maintenu le contrôle sur son PC, puis capturé une vidéo de lui, personnellement.

La prise est évidemment jointe au dossier : deux photos d’un homme moustachu, sans uniforme, dans ce qui ressemble à un appartement.

Pour la Géorgie, l’origine de l’attaque ne fait aucun doute : Moscou est derrière. Ce ne serait pas une première. Lors de la guerre entre les deux pays à l’été 2008, le Russie avait mené des cyberattaques concomitamment aux attaques sur le terrain. Le rapport ne manque pas de le rappeler, citant “deux organisations indépendantes américaines”. Les cyberattaquants avaient alors pu compter sur “certaines ressources” appartenant à l’Institut de recherche du ministère de la défense russe.

“Gmail m’annonce que des attaques menées par des États tenteraient de s’infiltrer dans mon compte ou mon ordinateur.” C’est la mauvaise surprise qu’ont constatée hier Noah Schactman, journaliste pour le blog Danger Room de Wired, et un expert en antiterrorisme Daveed Gartenstein-Ross du think-tank américain Foundation for Defense of Democracies, avant de la partager sur Twitter.

Contacté par Owni, Daveed Gartenstein-Ross indique sur Twitter ne pas en savoir davantage : “Gmail a simplement fait une alerte, ainsi que des suggestions pour protéger son compte.”

Aaaaand I just got Google’s “you may be a victim of a state-sponsored attack” notice. support.google.com/mail/bin/answe… #WhatTookYouSoLong?

— Noah Shachtman (@dangerroom) Octobre 2, 2012

Gmail tells me that state-sponsored attackers may be attempting to compromise my account or computer. Looks like I’ve arrived!

— D. Gartenstein-Ross (@DaveedGR) Octobre 2, 2012

Selon nos informations, plusieurs milliers de personnes seraient concernées par cette alerte pointant vers des tentatives d’intrusions principalement en provenance d’États du Moyen-Orient. Sur ce point, Daveed Gartenstein-Ross nous informe que Google ne lui a donné aucune précision sur l’origine de l’attaque :

Je soupçonne un gouvernement du Moyen-Orient, étant donné que mes recherches couvrent la région. Mais ça peut aussi être la Chine, ou la Russie, ou tout autre gouvernement cherchant à apprendre plus d’info via le hacking.

Mise en place par Google en juin dernier, cette procédure d’alerte prend la forme d’une bannière rouge s’affichant au-dessus de la boîte de réception et consiste à informer les utilisateurs de Gmail de tentatives d’accès à leurs comptes, qui “suggèrent fortement l’implication d’Etats ou de groupes soutenus par des Etats.” Elles prendraient la forme de phishing, de mails demandant des informations à l’utilisateur en se faisant passer pour certains prestataires de service, ou de malware, de messages comportant des logiciels malveillants en lien ou en pièce jointe.

Difficile en revanche d’en savoir davantage sur le mécanisme d’identification mis en œuvre par Google, qui écrivait en juin sur son blog :

Vous vous demandez certainement comment nous parvenons à savoir que cette activité est menée par un État. Nous ne pouvons pas rentrer dans les détails sans donner des informations susceptibles d’être utiles à ces acteurs malveillants, mais notre analyse détaillée -ainsi que les témoignages de victimes- suggère fortement une implication d’États ou de groupes soutenus par des États.

En 2010, suite à une série d’attaques en provenance de la Chine, connue sous le nom “opération Aurora” Google avait entériné un rapprochement avec la NSA, l’agence de surveillance des télécommunications américain, visant à “une meilleure protection du propriétaire du moteur de recherche et de ses utilisateurs”, expliquait alors Le Monde. Une proximité qui pousse certains commentateurs à s’interroger sur la nature des alertes de Google mises en place en juin dernier : oseraient-ils dénoncer des actions américaines ?

De son côté, le géant de Moutain View déclare sur son blog qu’il est de son “devoir d’être pro-actif en avertissant ses utilisateurs en cas d’attaques ou de potentielles attaques afin qu’ils puissent faire le
nécessaire pour protéger leur information.” Il y a 15 jours, il faisait l’acquisition de l’antivirus en ligne Virustotal, afin de renforcer la “sécurité en ligne” de ses utilisateurs.

Contacté, Google France n’a pour le moment pas réagi.

Mise à jour : suite à notre demande, Google nous a fait parvenir le communiqué d’un porte-parole du groupe : “Google travaille dur chaque jour pour aider nos utilisateurs à protéger leurs informations. C’est pourquoi nous avons développé cette alerte pour compléter nos systèmes de sécurité des comptes. Nous espérons que ces messages bien visibles encourageront les utilisateurs concernés de prendre des mesures pour renforcer la sécurité de leurs comptes et leurs ordinateurs.”

Un contrat de location d’ordinateur n’autorise pas le loueur à accéder aux emails privés de son client, à ses informations bancaires, dossiers médicaux ou, pire, à prendre des photos d’eux dans leurs maisons dans l’intimité de leurs logis au moyen de la webcam.

Des chevaux de Troie dans nos démocraties

OWNI lève le voile sur les chevaux de Troie. Ces logiciels d'intrusion vendus aux États, en particulier en France et en ...

Les loueurs utilisaient en effet un logiciel de la société DesignerWare afin de pouvoir géolocaliser leurs ordinateurs, mais également l’éteindre à distance, en cas de vol, ou de défaut de paiement.

Le logiciel espion était également doté d’un “mode détective” pour enregistrer ce qui était tapé sur le clavier, faire des captures d’écran ou activer la webcam afin de photographier ce qu’il y avait devant, le tout, à l’insu de leurs clients.

Au cour de leur investigation, la FTC a découvert que DesignerWare, qui collectait toutes les informations avant de les faire suivre aux loueurs, avait ainsi enregistré les identifiants et mots de passe utilisés pour accéder à des boîtes aux lettres email, réseaux sociaux ou institutions financières, des numéros de sécurité sociale, courriels envoyés à des médecins, mais également photographié des enfants, des “individus partiellement dénudés, et des relations sexuelles“…

L’espion était dans le .doc

Les marchands d'armes de surveillance n'ont vraiment pas de chance : à chaque fois qu'on entend parler d'eux, c'est parce ...

Le logiciel espion permettait également de bloquer l’ordinateur jusqu’à ce que l’utilisateur remplisse un formulaire révélant ses numéros de téléphone, adresses physiques et emails, et censé permettre aux loueurs de récupérer leur argent plus facilement.

La FTC a estimé que l’espionnage et la géolocalisation des utilisateurs, à leur insu, était “déloyale“, et “illégale“, et que le formulaire était “trompeur“. Elle a donc ordonné à DesignerWare et aux sept loueurs d’arrêter d’espionner leurs clients… à leur insu. Il leur suffira donc de préciser dans leurs futurs contrats que les utilisateurs seront susceptibles d’être surveillés pour pouvoir le faire en toute légalité.

Au journal Wired, la FTC a expliqué qu’elle n’avait pas infligé d’amendes, alors que plus de 400 000 locations auraient été concernées, parce qu’elle n’a pas le droit de le faire lorsque de telles infractions sont détectées.