Babar (logiciel malveillant)
Babar, aussi appelé SNOWGLOBE ou Evil Bunny, est un logiciel malveillant à buts d'espionnage créé par la direction générale française de la Sécurité extérieure, connu depuis au moins [1].
Type | Logiciel malveillant |
---|---|
Auteur | Direction générale de la Sécurité extérieure |
Écrit en | PHP |
Historique
modifierDès 2009, les services de renseignement français sont fortement soupçonnés d'être à l'origine de Babar[1], des chercheurs ont désigné la Direction générale de la Sécurité extérieure comme en étant l'auteur présumé[2].
Le , Le Monde publie, dans le cadre des révélations d'Edward Snowden, un document classé top secret du Centre de la sécurité des télécommunications Canada décrivant une plateforme d'espionnage informatique nommée SNOWGLOBE, dotée des modules nommés SNOWBALL et SNOWMAN[3]. Le document publié par Le Monde est un extrait de 7 pages, la version complète de 25 pages sera publiée par la suite le par Der Spiegel[4].
Dans ce document, on apprend notamment que les chaînes de caractères laissées dans les exécutables suggéreraient que le nom de code utilisé en interne par le logiciel soit « Babar », et que son développement soit l'œuvre d'un certain « titi ». L'unité du kilooctet est utilisé plutôt que celle du kilobyte, la locale « fr_FR » est définie dans le code, et les chaînes en anglais qui s'y trouvent sont rédigées dans un langage plutôt approximatif ; autant d'éléments qui suggéreraient la paternité de la France sur ce logiciel.
Le , soit deux jours seulement après la révélation par Kaspersky des réalisations de l'Equation Group, qui est à l'origine de logiciels à visée d'espionnage similaire pour le compte des États-Unis[5], un groupe d'analystes de logiciels malveillants publie une série d'articles détaillant massivement le fonctionnement interne de Babar. Un premier papier est publié par Marion Marschalek de l'entreprise de cyberdéfense Cyphort[6],[7], suivi quelques heures plus tard par un article de Paul Rascagnères sur le blog de G DATA[8]. Concomitamment, des articles annonçant les nouvelles informations connues sur l'outil d'espionnage sont publiés dans les éditions en ligne de Le Monde[9], Vice[2] et Le Soir[10].
Le , Kaspersky publie une note au sujet de Babar et de ses variantes, dans laquelle il surnomme le groupe qui en est à l'origine « Animal Farm » (La Ferme des animaux), et dit notamment avoir trouvé des traces d'activité remontant à 2007[11],[12]. Le , les trois chercheurs à l'origine des publications faites en février tiennent une nouvelle présentation à l'occasion la conférence de rétro-ingénierie REcon 2015[13].
En juin 2016, Bernard Barbier, qui était directeur technique à la DGSE en 2012, a confirmé lors d'un Symposium CentraleSupélec que Babar avait été créé par la DGSE[14],[15].
Variantes
modifierVoici la liste des logiciels malveillants assimilés comme étant de la famille de Babar[11] :
- Bunny
- Dino
- Babar
- NBot
- Tafacalou
- Casper
Fonctionnement
modifierDécrit comme un « kit d'espionnage complet », Babar comprend notamment un enregistreur de frappe, des fonctions de prise de captures d'écran, de récupération de diverses informations du système, telles que le contenu du presse-papier, le nom des fenêtres ouvertes, la langue, la disposition de clavier, la présence de certains antivirus, mais aussi et surtout la possibilité d'intercepter les conversations de divers logiciels de messagerie instantanée et de voix sur IP.
Pour ce faire, Babar injecte du code malveillant dans la mémoire de processus ; il cible notamment les navigateurs web Internet Explorer, Firefox, Opera, Google Chrome, Safari, les logiciels de visualisation de documents Microsoft Office, Adobe Acrobat, Bloc-notes, WordPad, et les logiciels de messagerie instantanée Skype, Windows Live Messenger, ooVoo, Nimbuzz, Google Talk, Yahoo Messenger et X-Lite (de). Il intercepte alors une liste prédéfinie d'appels aux API système. Il comprend une implémentation du protocole MSNP.
Les serveurs qui reçoivent les informations dérobées par Babar (serveurs dits « C&C (en) » dans le jargon de la sécurité informatique) sont répartis dans divers pays, et seraient présents principalement sur des sites web compromis, ainsi que des hébergements gratuits. La partie serveur de Babar est écrite en PHP[6].
Cibles
modifierSelon le CSTC, une des principales cibles de Babar serait l'Iran, avec notamment :
- le ministère des Affaires étrangères de l'Iran ;
- l'université de science et de technologie d'Iran (en) ;
- l'organisation de l'énergie atomique d'Iran ;
- la Data Communication Company of Iran (DCI) ;
- l'organisation de la recherche iranienne pour la science et la technologie (en), de l'université Imam-Hossein ;
- l'université de technologie Malek-Ashtar (en).
Seraient aussi concernés les Five Eyes, l'Europe avec la Grèce, la France, la Norvège, l'Espagne, ainsi que l'Afrique avec la Côte d'Ivoire et l'Algérie. Le fait que d'anciennes colonies françaises soient visées, ainsi que des organisations francophones, y compris de médias, aurait orienté parmi d'autres choses l'attribution de Babar à la France par le CSTC[1].
Notes et références
modifier- « SNOWGLOBE: From Discovery to Attribution », Centre de la sécurité des télécommunications Canada, document publié par Der Spiegel
- « Meet Babar, a New Malware Almost Certainly Created by France » sur Vice, le 18 février 2014
- « Quand les Canadiens partent en chasse de « Babar » » sur Le Monde, le 21 mars 2014
- « The Digital Arms Race: NSA Preps America for Future Battle » sur Der Spiegel, le 17 janvier 2015
- « Equation: The Death Star of Malware Galaxy » sur Securelist, le 16 février 2015
- « Shooting Elephants », publication de Marion Marschalek le 18 février 2015
- « Babar: Suspected Nation State Spyware In The Spotlight » sur le blog de Cyphort, 18 février 2015
- « Babar: espionage software finally found and put under the microscope » sur le blog de G DATA, le 18 février 2015
- « Le programme espion Babar a un « grand frère » : Evil Bunny » sur Le Monde, le 18 février 2015
- « «Babar», le logiciel espion français qui sévit au Moyen-Orient » sur Le Soir, le 18 février 2015
- (en) « Animals in the APT Farm », sur Secure List, (consulté le )
- Martin Untersinger, « « La Ferme des animaux », concepteur de logiciels espions depuis au moins 2009 », sur Le Monde, (consulté le )
- (en) Joan Calvet, Marion Marschalek, Paul Rascagnères, « Totally Spies!: A Tour in Espionage Cartoons », sur REcon.cx, (consulté le )
- « Espionnage et cybersécurité, Bernard Barbier reçu par Symposium CentraleSupélec », sur YouTube,
- « Les États-Unis ont bien piraté l’Elysée en 2012 »,