Le mois dernier, des chercheurs canadiens évoquaient l'implication probable des services de renseignement français dans la conception et le déploiement de deux malware : Babar et sa variante EvilBunny. Aujourd'hui, c'est un autre logiciel qui fait l'objet d'une étude spécifique : Casper.

Hokkaido Japon espionnage trou de serrure  Casper a été repéré au mois d'avril dernier sur jpic.gov.sy, le site web du ministère de la Justice syrienne depuis lequel les citoyens étaient amenés à faire des demandes de réparation relatives aux destructions dues à la guerre civile qui sévit dans le pays.

Le chercheur d'Eset Joan Calvet a entrepris d'analyser le malware et en a découvert un peu plus sur son fonctionnement. Casper est un fichier DLL qui se caractérise par l'utilisation de deux failles de type zero-day dans Flash ( CVE-2014-0515), et une analyse du code a rapidement mis en évidence des ressemblances flagrantes avec Babar et EvilBunny.

D'après l'expert, les trois logiciels proviendraient ainsi de la même organisation, ce qui pointe automatiquement vers une agence secrète française. On peut ainsi supposer que la DGSE dispose d'un ensemble de malwares en action dans les réseaux du monde entier.

Casper n'est toutefois pas un outil de collecte massive de données comme ceux de la NSA. Il agit en éclaireur en s'installant sur la machine ciblée et en renvoyant des informations sur les serveurs à son propriétaire : antivirus, pare-feu, réglages, informations système, processus utilisés, configuration... Le but étant ensuite de préparer une attaque sur mesure pour profiter des failles et obtenir les renseignements souhaités.

Son nom n'est pas non plus choisi au hasard puisque le logiciel est un véritable fantôme : pour ne pas déclencher les protocoles de sécurité des systèmes, il analyse en priorité quelle solution antivirus est installée. Si une solution capable de le détecter est en place, il s'autodétruit, dans le cas contraire, il s'installe dans la base de registre.

Impossible à l'heure actuelle de dire si la Syrie a été victime d'espionnage grâce au logiciel, les experts en sécurité indiquent que la plateforme pouvait ne servir que de point de relai permettant de coordonner d'autres attaques tout en camouflant l'identité réelle de l'agence qui contrôle réellement l'action.