Equation, le géant du cyberespionnage
Lundi 16 février 2015, Kaspersky Lab, une société russe de cybersécurité, organisait le Kaspersky Lab Security Analyst Summit à Cancún au Mexique. Ce sommet international réunit les meilleurs chercheurs et industriels en matière de technologies de l’information ainsi que des experts de la cybercriminalité. Kaspersky Lab en a profité pour dévoiler les avancées de ses investigations dans la lutte contre les cyberattaques. L’entreprise russe a découvert l’existence du groupe de hackers le plus sophistiqué connu à ce jour. Elle l’a baptisé : Equation.
Kaspersky Lab est le 3ème éditeur mondial d’anti-virus pour les particuliers. La compagnie a développé une expertise reconnue mondialement en cybersécurité. En 2008, elle crée en son sein une équipe dédiée à la recherche, la veille et l’analyse des nouvelles menaces cybernétiques. C’est cette équipe, le GReAT (Global Research & Analysis Team), composée de 35 experts répartis géographiquement et par domaine de compétence, qui a découvert le groupe Equation. Costin Raiu, le directeur du GReAT, désigne le groupe Equation comme étant de loin le champion du monde des hackers, du jamais vu en termes de sophistication, d’où le nom « Equation » donné par Kaspersky Lab à ce mystérieux groupe.
Depuis environ 20 ans, Equation développe dans l’ombre des logiciels malveillants, des malwares diffusés non pas sur Internet mais via des clés USB. Le groupe opère dans le plus grand secret dans de nombreux pays. Ses cibles favorites sont l’Iran, la Russie, la Chine, l’Afghanistan, le Pakistan et la Syrie parmi une trentaine d’États touchés. Sont visés aussi bien des gouvernements, des institutions diplomatiques, des banques, des médias, les secteurs énergétique, nucléaire et militaire que des filières d’activistes islamistes. Equation aurait élaboré différents vers informatiques au fil des ans à l’image de Fanny. Cette cyberarme s’apparente au virus Stuxnet. En s’implantant dans le disque dur d’un ordinateur, Fanny permet de récupérer l’intégralité de ses données. Impossible de l’en déloger car le ver est conçu pour résister au reformatage du disque dur. Fanny est donc une APT (Advanced Persistent Threat) c’est-à-dire une menace informatique contre laquelle il n’existe pas d’anti-virus à ce jour.
Qui se cache derrière Equation ?
Un faisceau d’indices semble désigner un responsable : les États-Unis et plus particulièrement la NSA (National Security Agency). Tout d’abord, les cibles préconisées par les cyberattaques sont presque toujours des ennemis ou des rivaux stratégiques des États-Unis à l’image de l’Iran, de la Russie et des réseaux djihadistes. Ensuite, le type même de l’arme cybernétique et de son chiffrement (code) est si semblable à de précédents vers informatiques (Stuxnet, Flame) que l’organisation en charge du développement de Fanny est soit la même que celle de Stuxnet, soit travaille en étroite collaboration avec elle. Enfin, ce genre de cyberattaques n’est en aucun cas un acte de vandalisme cybernétique (destruction) ou mafieux (recherche d’un gain financier). Il s’agit manifestement d’un programme de cyberespionnage ciblé à l’échelle planétaire.
Kaspersky Lab se garde bien d’accuser la NSA. Toutefois, les soupçons sont lourds. Les cibles, le mode opératoire, la complexité du ver informatique et l’étendue géographique de l’opération désignent l’agence américaine. Ce ne serait pas le premier programme de cyberespionnage de la NSA. En effet, en 2010, dans le cadre de l’opération Olympic Games, la NSA et l’unité 8 200 d’Israël recourraient au ver informatique Stuxnet pour désorganiser et retarder le programme nucléaire iranien. La découverte d’Equation a lieu alors que l’affaire Snowden a éclaboussé la NSA (dispositif d’écoutes à l’échelle mondiale) et que la Maison-Blanche a décidé de fortifier son dispositif de lutte contre les cyberattaques en créant le Centre d’intégration du renseignement sur les cybermenaces (CTIIC), sur le modèle du centre national de lutte contre le terrorisme, né après les attentats du 11 septembre 2001. Coïncidence ou non, Kaspersky Lab a démontré que le groupe Equation avait connu une recrudescence d’activité à partir de 2001…