De nouveaux éléments publiés par Der Spiegel et analysés par Kaspersky Labs montrent une très grande proximité entre le malware Regin dévoilé l'an dernier, et le code source d'un module développé par la NSA.

En fin d'année dernière, plusieurs entreprises de sécurité informatique dont Symantec avaient révélé l'existence de Regin, un cheval de Troie très discret utilisé pour voler des documents confidentiels ou prendre le contrôle d'ordinateurs à distance. Son niveau de sophistication extrêmement élevé et la liste des pays attaqués, dans laquelle ne figuraient ni les Etats-Unis ni aucun de ses proches alliés (Israël, France, Grande-Bretagne, Australie, Nouvelle-Zélande, Canada…), laissaient peu de doute sur l'origine du malware.

L'outil avait été utilisé pour attaquer des cibles en Russie, Arabie Saoudite, au Pakistan, au Mexique, en Irlande, en Inde, en Iran, en Belgique, en Autriche ou encore en Afghanistan.

De nouveaux éléments viennent aujourd'hui ajouter aux soupçons de l'implication directe des Etats-Unis et/ou de ses partenaires. Il y a dix jours, le journal allemand Der Spiegel qui bénéficie d'une autre source qu'Edward Snowden dans le monde du renseignement, a publié de nouvelles révélations sur les programmes de cyberguerre de la NSA, dont une copie (.pdf) du code source de QWERTY, un module d'enregistrement des saisies au clavier (keylogger) destiné à un framework de la NSA intitulé WARRIORPRIDE. Or Kaspersky Labs a examiné les sources de QWERTY, et découvert des similitudes très fortes avec Regin.

Tellement fortes qu'il ne peut pas s'agir d'une coïncidence. Les deux malwares sont tous les deux des modules destinés à fonctionner sur la même plateforme. "Etant donné l'extrême complexité de la plateforme Regin et le peu de chances qu'il puisse être dupliqué par quelqu'un sans avoir accès à son code source, nous concluons que les développeurs du malware QWERTY et les développeurs de Regin sont les mêmes, ou travaillent ensemble", écrit Kaspersky Labs. 

Selon le Spiegel, Regin aurait été utilisé y compris pour attaquer certaines cibles en Europe, dont l'opérateur Belgacom, l'Agence Internationale de l'Energie Atomique (AIEA), ou même directement la Commission Européenne.

Partager sur les réseaux sociaux

Articles liés