Les experts doivent certainement réviser leurs manuels de sécurité informatique pour y intégrer les nouvelles données apportées par la découverte de ce logiciel espion qui défraie la chronique de l'actualité du monde numérique ces derniers jours. Tout le monde s'y est mis pour détecter cet intrus qui sévit depuis de nombreuses années, se balade dans des infrastructures informatiques sensibles de nombreux pays sans soulever le moindre soupçon. Mais tout récemment, deux grosses pointures de la sécurité informatique mondiale, l'américaine Symantec et la russe Kaspersky, ont subitement annoncé, successivement les 7 et 8 août derniers, avoir fait la découverte « d'un logiciel espion présent dans des systèmes informatiques sensibles d'une trentaine d'institutions dans plusieurs pays du monde, depuis au moins cinq ans », raconte le site du quotidien français lemonde.fr qui parle « d'une découverte hors du commun ». La presse internationale braque immédiatement ses projecteurs sur « Sauron en référence au méchant du Seigneur des anneaux capable de voir partout grâce à son œil géant. Ce logiciel inquiète les gouvernements », souligne le site http://www.lunion.fr/ Certains qu'il ne s'agit là « que ce n'est que le sommet de l'iceberg », les experts de Kaspersky, qui ont rédigé un rapport sur la question, évoquent des atteintes constatées sur des sites informatiques appartenant à des « institutions gouvernementales, scientifiques, militaires, télécoms et financières », selon lemonde.fr. La liste des pays touchés est reprise par de nombreux titres de la presse internationale De son côté, l'autre site d'information français http://rue89.nouvelobs.com se base sur les indications fournies par Symantec et Kaspersky pour souligner « le rôle particulier des institutions visées par le logiciel espion », à savoir « les gouvernements, les institutions militaires, les centres de recherches scientifiques, les opérateurs télécoms et les organisations financières ». Les experts ont pu détecter pour le moment « plus de 30 organisations, victimes du logiciel » qui se situeraient, selon le site français, « principalement en Russie, en Iran, au Rwanda et, potentiellement, en Italie », et préviennent « que beaucoup d'autres organisations et zones géographiques sont susceptibles d'être affectées ». Le site du journal lemonde.fr voit une liste plus allongée de pays touchés et évoque « des pays comme la Belgique, la Russie, l'Iran, la Chine, le Rwanda ou encore la Suède ». La société Kaspersky explique avoir fait les premières constatations de l'existence de ce logiciel en septembre 2015, après l'avoir détecté sur « un réseau appartenant à une institution publique », suite à une demande d'expertise qui lui a été faite pour voir de plus près des anomalies relevées dans un système informatique. Les experts ont en effet constaté que ce « logiciel, actif depuis au moins 2011, installe une porte dérobée sur les machines concernées et permet ainsi aux pirates d'espionner leur activité, mais aussi de voler des fichiers, des mots de passe et des clés de chiffrement », indique lemonde.fr. Le journaliste du site rue89.nouvelobs.com estime pour sa part que la mission de « Sauron est de reconnaître ce qui est tapé sur un clavier, de voler des documents et des clés de chiffrement dans des ordinateurs infectés, ou des clés USB ». Les analystes de la presse se sont posé de nombreuses questions au sujet de ce logiciel et notamment pour savoir qui est derrière cette « innovation maléfique ». Les réponses apportées par les experts de Kaspersky et Symantec sont claires et tendent à valider l'idée de l'implication d'un service d'un Etat. « Le coût, la complexité, la persistance et l'objectif de l'opération, à savoir voler des données confidentielles et secrètes d'institutions publiques sensibles, suggère l'implication ou le soutien d'un Etat », indiquent les analystes de Kaspersky, tandis que pour ceux de Symantec, « ses cibles ont été principalement des organisations ou des individus qui pourraient intéresser des services de renseignement ». Autre question qui taraude les spécialistes, le temps mis pour découvrir le logiciel et ce que cela implique comme nouvelles inventions de ses créateurs. Il est en effet constaté que le logiciel a été doté de nouvelles capacités lui permettant de se mouvoir, loin des capteurs des sociétés de sécurité informatique. « Les pirates ont clairement compris que nous, les chercheurs en sécurité informatique, sommes toujours à la recherche de comportements répétitifs, explique un expert de chez Kaspersky, repris par lemonde.fr avant d'ajouter : « Supprimez-les et l'opération sera bien plus difficile à découvrir. » Le journaliste du site lemonde.fr croit savoir que s'il a pu se dissimuler aussi longtemps, c'est qu'il a dû emprunter « des fichiers à l'apparence banale, est conçu de façon très différente des autres logiciels de ce type », expliquant, selon les informations détaillées par Kaspersky, que les initiateurs du logiciel ont « personnalisé son infrastructure pour chaque cible, ce qui fait que les traces et les indices laissés par ProjectSauron diffèrent d'un système à l'autre ». En fait, Sauron a adopté la tactique en usage dans ce genre de situation ; à savoir s'introduire dans un support ciblé et attendre, parfois des années, avant de passer à l'action. Les experts en sécurité informatique travaillent sur des modèles techniques appelés « patterns », sorte de schéma reproductible. « Ces patterns sont ensuite stockés dans la base de données de l'anti-virus, d'où la nécessité de la mettre régulièrement à jour », souligne le site lunion.fr, avant d'indiquer que le « problème avec Sauron, c'est que ces patterns changent régulièrement et ne sont jamais réutilisés. Une stratégie qui permet au logiciel espion d'agir en toute discrétion pendant longtemps ». Pour le site lemondeinformatique.fr qui a analysé les caractéristiques techniques de ce logiciel, sa première innovation est qu'il « présente une empreinte différente pour chaque cible, ce qui ne facilite pas sa détection puisqu'il n'est dès lors pas possible de se référer à des indicateurs de compromission communs ». Les spécialistes ont par ailleurs relevé une capacité importante de siphonage des données par Sauron, « capable de dérober des informations sur des ordinateurs non connectés à Internet — ceux qui contiennent généralement les informations les plus sensibles — grâce à une clé USB infectée, permettant d'aspirer des données discrètement », note lemonde.fr Une série de caractéristiques inédites dans le monde du piratage a été relevée par les experts de Kaspersky, qui, outre le caractère mutant de ses empreintes qui le rend indécelable, ont constaté également que « les logiciels implantés utilisent des scripts de mise à jour de logiciels légitimes et fonctionnent comme des backdoors, en téléchargeant des modules ou en exécutant des commandes en mémoire », lit-on sur lemondeinformatique.fr. D'autre part, le logiciel est doté d'une capacité cognitive qui lui permet de déceler « en priorité un certain logiciel de chiffrement client-serveur assez rare, utilisé par certaines des organisations qu'il cible pour sécuriser leurs échanges », ajoute la même source. En dernier lieu, les experts ont remarqué que « Sauron met en œuvre différentes voies d'exfiltration des données en utilisant des canaux légitimes (tels que les e-mails ou le DNS) qui dissimulent les données volées aux victimes dans le flot du trafic quotidien », attestant ainsi de la grande capacité technologique dont il a été doté. A l'analyse des différentes caractéristiques du logiciel malveillant, les experts de chez Kaspersky ont la conviction, selon lemondeinformatique.fr que « tout cela relève d'intervenants expérimentés qui ont étudié et réutilisé, en les améliorant, des méthodes mises en œuvre par de précédentes offensives telles que Duqu, Flame, Equation et Regin ». La comparaison permet de faire un petit retour en arrière dans l'histoire des logiciels espions pour se remémorer le fulgurant Flame, dont les caractéristiques techniques avaient également conduit à penser à l'implication d'un Etat. Lui aussi avait somnolé pendant près de deux ans avant de passer à l'œuvre. Il a pu faire oublier les redoutables Stuxnet et Duqu, par sa force de pénétration. Ses premières empreintes remonteraient à août 2010, même si les analystes de Kaspersky disent qu'il pourrait être actif depuis plus longtemps. Ses faits de « siphonage » ont été recensés dans plusieurs pays « du Moyen-Orient (Arabie saoudite, Egypte, Iran, Israël, Liban, Soudan et la Syrie), dans la région de la Cisjordanie mais également en Russie, en Autriche, à Hong Kong et aux Emirats arabes unis selon les informations de l'éditeur Symantec », explique le site www.futura-sciences.com Découvert en 2012 par Kaspersky, suite à une requête de l'Union internationale des télécommunications (UIT), il avait la capacité « de surveiller l'activité d'un réseau informatique, d'enregistrer des conversations en activant le microphone d'un ordinateur, d'effectuer des captures d'écran, de voler des fichiers, des listes de contacts et même de détecter l'ouverture de logiciels de courrier électronique ou de messagerie instantanée », rapporte le site www.futura-sciences.com, dans un papier mis en ligne le 30 mai 2012, dans lequel les experts de Kaspersky avaient alors indiqué : « La complexité et les fonctionnalités de cette nouvelle cybermenace dépassent celles de toutes les autres connues à ce jour. » Aux questions posées à l'époque par les journalistes pour savoir qui a pu manigancer un tel scénario, les réponses ont été dans un même sens. « La géographie des cibles (certains Etats du Moyen-Orient) ainsi que la complexité de la menace ne laissent aucun doute sur le fait qu'un Etat en ait sponsorisé la recherche », disait alors la société de sécurité russe, au moment où Symantec voyait que, « comme pour Stuxnet et Duqu, le code de cette nouvelle menace n'a pas été écrit par un individu isolé mais par un groupe de spécialistes organisé, financé et dirigé ». Le journaliste du site futura-sciences.com, qui a recueilli ces déclarations, a fait confirmer l'hypothèse de l'implication d'un Etat par William Pomian, alors responsable de la cellule veille et réponse incidents du groupe Lexsi, cabinet international spécialisé en conseil en cybersécurité qui l'a trouvée « complètement réaliste. Il faut savoir qu'actuellement certains gouvernements achètent des failles « 0-day » ou financent leur création afin d'attaquer des cibles », lui a-t-il déclaré. Bien plus que cela, le site s'était alors autorisé à souligner que des « observateurs évoquent la piste des Etats-Unis ou d'Israël qui avaient été cités comme les possibles instigateurs des virus Stuxnet et Duqu ».
