Symantec et Kaspersky, deux structures spécialisées en sécurité informatique, ont révélé il y a une dizaine de jours, l’existence d’un logiciel malveillant qui espionnait des organisations gouvernementales depuis cinq ans.
Baptisé « Projet Sauron » par Kaspersky, en allusion à ces lignes de code qui font référence à seigneur maléfique ultime de la saga « Le Seigneur des Anneaux », et « Remsec » par Symantec, selon leurs communiqués respectifs, il s’agirait d’un logiciel malveillant introduit dans les systèmes d’au moins une trentaine d’institutions de plusieurs pays à travers le monde, et cela depuis 5 ans.
C’est Kaspersky Lab qui a découvert en septembre 2015, l’existence de ce logiciel de cyberespionnage au sein d’ordinateurs et de serveurs appartenant à des organisations gouvernementales. Parmi les pays dont les systèmes (militaires, financiers, gouvernementaux…) ont été infectés figurent pour le moment la Russie, la Chine, la Belgique, l’Iran mais aussi le Rwanda ou encore la Suède.
La société Symantec, a indiqué avoir également détecté des malwares au sein d’une compagnie aérienne au sein de l’Empire du Milieu, mais également au sein d’une ambassade de Belgique ou encore en Suède.
Sauron, est également équipé d’un module de persistance qui lui permet d’outrepasser les systèmes de sécurité des organisations attaquées : dès qu’un utilisateur ou un administrateur se connecte ou change son mot de passe, le malware réussit à récolter les informations adéquates sous la forme d’un banal fichier texte, une trentaine d’infections auraient été lancées par ce malware depuis le mois d’octobre 2011 et dont la provenance est inconnue du grand public.
Selon des experts en sécurité, Sauron, serait un malware très sophistiqué, composé des caractéristiques techniques des meilleurs malwares actuellement en vigueur dans le monde, une raison pour laquelle il a pu sévir depuis 2011 dans les hautes sphères sans être détecté.
On est en droit de se poser la question de savoir comment le projet Sauron a-t-il pu passer inaperçu pendant autant d’années ?
Pour les experts du domaine, il a été conçu pour se fondre dans la masse et passer pour un fichier sain. Sa structure est différente par rapport aux virus du même type et une version unique aurait été conçue pour chaque organisme ciblé. Selon Kaspersky, » Sauron ne s’appuie sur aucun modèle précédent et personnalise son infrastructure. Cette approche permet au malware d’espionner sur le long terme ».
Il est peu probable qu’un pirate installé tranquillement dans sa cave soit à l’origine de projet Sauron. La société russe note que l’acteur « expérimenté » derrière cette plateforme de cyberespionnage a déployé des « efforts considérables » dans l’apprentissage des techniques d’autres acteurs dans le milieu du piratage et du malware, tout en les améliorant.
Tous ces éléments pointent dans une seule et même direction : « Le coût, la complexité, la persistance et l’objectif de l’opération, à savoir voler des données confidentielles et secrètes d’institutions publiques sensibles, suggèrent l’implication ou le soutien d’un État », assure ainsi Kaspersky.
Il est toutefois difficile de pointer du doigt un État en particulier, sachant qu’il y en a plus d’un qui sont susceptibles d’être intéressés par des données sensibles russes ou iraniennes. Le projet Sauron pourrait donc être une équation très difficile à résoudre dans la mesure où ces concepteurs ont brouillé toutes les pistes derrière eux.