Regin, malware avancé pour espionnage de masse (màj)

00c8000005346226-photo-virus-malware-logo-gb.jpg
L'éditeur de logiciels de sécurité Symantec a annoncé hier avoir découvert un malware particulièrement avancé et qui serait en activité depuis 2008.

Mise à jour :

D'après le média américain The Intercept, ce logiciel serait l'œuvre des services de renseignements des Etats-Unis et du Royaume-Uni. Le système informatique du siège de l'Union européenne à Bruxelles semble avoir été une cible privilégiée. Un piratage déjà dévoilé par Edward Snowden il y a presque un an.

Le média, cite Ronald Prins, un expert en sécurité chez Fox IT, la société qui a éliminé le malware du réseau Belgacom : « Après avoir analysé ce malware et avoir fait le rapprochement avec les documents publiés par Snowden, je suis convaincu que Regin a été utilisé par les services de renseignements américains et britanniques. »

Interrogé par The Intercept, un porte-parole de Belgacom reste plus prudent, mais assure : « disposer de tous les éléments attestant qu'il s'agit bien d'une attaque provenant d'un Etat ».

Vous pouvez par ailleurs retrouver sur le site de ce média une analyse complète du malware et même le télécharger pour ceux qui voudraient étudier eux-mêmes Regin.

Publication initiale, le 24/11 à 8h27 :

Nommé Regin, ce programme se distingue par le soin qu'ont apporté ses concepteurs à le dissimuler. D'après Symantec, il a fallu des mois, voire des années, pour aboutir à ce cheval de Troie très complexe, avec un « degré de compétence technique rarement observé » précise l'éditeur.

Un travail soigné que Symantec considère être l'oeuvre d'une nation, et qui a permis à Regin de n'être découvert que 6 ans après sa mise en activité. C'est toutefois entre 2008 et 2011 que ce malware a connu son pic d'activité en espionnant des organisations gouvernementales, des centres de recherches ou des infrastructures stratégiques comme le réseau d'électricité ou de communication, ou encore les hôpitaux, et ce, dans de nombreux pays : Russie et Arabie Saoudite, principalement, mais aussi Mexique, Iran, Afghanistan, Pakistan, Inde, Autriche ou Irlande notamment.

C'est par une faille présente dans Yahoo! Messenger, corrigée depuis, que le cheval de Troie entrait. Une fois installé, il est capable de prendre le contrôle de la machine et de surveiller l'activité du réseau, celles des périphériques d'entrée, et même de retrouver des fichiers effacés.

Modifié le 13/02/2018 à 17h41
Commentaires