Fdesouche
Kaspersky Lab affirme avoir découvert qu’un groupe nommé “Equation”, présenté comme proche de la NSA, espionne le monde entier. Ce groupe a développé des outils d’espionnage indétectables et les a installés secrètement sur les disques durs des ordinateurs, révèle l’éditeur de logiciels anti-virus.

C’est l’un des groupes les plus menaçants que nous ayons vus“. Un rapport publié lundi par la société spécialisée en sécurité informatique russe Kaspersky Lab affirme que des millions d’ordinateurs sont espionnés en secret par les outils du groupe Equation.

La mystérieuse organisation, dont plusieurs indices pointent vers un lien fort avec la NSA, userait de méthodes sophistiquées pour installer des fichiers indétectables sur les disques durs des ordinateurs. 

Cette campagne “surpasse tout ce qui a été fait en matière de complexité et de sophistication” dans le domaine du cyber-espionnage, indique l’éditeur d’antivirus, qui a retrouvé sa trace jusqu’à aussi loin que 2001. Appelés Fanny ou GRAYFISH, les programmes développés par le groupe Equation volent les informations des ordinateurs infectés en exploitant les failles de Windows.
Des programmes cachés dans les tréfonds du disque dur
La particularité des attaques menées par le groupe Equation est qu’elles s’en prennent directement aux disques durs des ordinateurs. Ces derniers étaient reprogrammés afin que les virus deviennent quasi impossibles à éliminer.
Pour l’expert de Kaspersky Serge Malenkovich, ces logiciels espions sont “invisibles et indestructibles” et constituent un véritable cauchemar en sécurité informatique.
Mais cette attaque est si complexe à exécuter, a-t-il noté, “que même le groupe Equation ne l’a probablement réalisée qu’à quelques reprises”. Exemple : des scientifiques participant à une conférence au Texas ont reçu des CD-ROMS consacrés à l’événement, mais aussi porteurs de ces virus capables de transmettre leurs informations vers des serveurs du groupe Equation.
L’opération ne daterait pas d’hier : “On ne peut dire quand le groupe Equation a commencé son ascension, précisent les experts. Les échantillons de logiciels espions que nous avons vus ont été identifiés en 2002, mais leur centre de commandement a été repéré dès 2001.” Selon le rapport, il est même possible de remonter la filière jusqu’en 1996.
Plusieurs grands fabricants de disques durs, dont Western Digital, Seagate, Samsung et Maxtor ont été piégés. Le logiciel espion a été conçu de telle manière qu’il résistait à un reformatage du disque dur et à l’installation d’un nouveau système d’exploitation sur l’ordinateur infecté.
Les entreprises Western Digital, Seagate et Micron nient avoir connaissance du programme d’espionnage, indique Recode, alors que Toshiba et Samsung ont refusé de s’exprimer.
Les attaques ont été en mesure d’infecter “environ 2.000 utilisateurs par mois” dans 30 pays, mentionne le rapport. La majorité d’entre eux ont été détectés en Iran, en Russie, au Pakistan et en Afghanistan. Parmi les autres pays touchés, on compte la Syrie, le Kazakhstan, la Belgique, la Somalie, la Libye, la France, le Yémen, la Grande-Bretagne, la Suisse, l’Inde et le Brésil.
Kaspersky établit un lien avec le virus Stuxnet
Qui est derrière tout ça? Selon l’éditeur, le virus Fanny porte des traces qui indiquent que “les développeurs d’Equation et Stuxnet sont soit les mêmes, soit coopèrent étroitement“. Le virus Stuxnet est à l’origine d’attaques contre le programme nucléaire iranien et utilisé, selon Téhéran, par les Etats-Unis et Israël.
La NSA a refusé de confirmer toute implication dans le programme. “Nous sommes au courant du rapport. Nous ne commenterons publiquement aucune allégation soulevée par le rapport, ni aucune autre information”, a indiqué Vanee Vines, la porte-parole de la NSA à l’AFP.
Sean Sullivan, de la firme de sécurité finlandaise F-Secure, a pour sa part mentionné que le rapport de Kaspersky semble décrire une division de la NSA connue sous l’acronyme ANT, qui a fait l’objet d’un rapport en 2013 sur les portes dérobées (backdoor) dans les produits technologiques.
L’étude de Kaspersky fait référence à un groupe nommé Equation, dont le pays d’origine est tenu secret, mais qui possède exactement les capacités d’ANT“, a -t-il précisé sur son blog mardi.
L’Expansion
(Merci à Fenian)

Fdesouche sur les réseaux sociaux