L'info. Une vaste campagne de cyberespionnage a été dévoilée par le spécialiste de la sécurité du Web Kaspersky. Détectée en octobre dernier, elle viserait en grande partie les pays de l'Europe de l'Est, ce qui lui aurait donné le nom d'"Octobre Rouge". Son arme ? Des fichiers Word et Excel infectés. Sa cible ? Des ambassades et des instituts de recherches répartis dans 39 pays.
Un mécanisme bien ficelé. Voici le processus d'opération des hackers : un mail personnalisé est envoyé à une personne, selon son activité. "La cible n'est jamais choisie au hasard", explique Nicolas Brulez, analyste chez Kaspersky, interrogé par Europe1.fr. Dans ce mail, une pièce jointe au format Word ou Excel. Pour attirer le destinataire, le message fait référence à une annonce, comme la vente d'une voiture d'ambassade d'occasion par exemple. La cible clique sur la photo en pièce jointe et installe, à son insu, un Cheval de Troie (logiciel malsain qui se cache dans un fichier). Une fois installé, ce programme fantôme étudie le réseau et enregistre les informations comprises sur l'ordinateur.
Récupérer un maximum d'informations. L'objectif est de récolter le plus de données possibles : des documents sur une clé USB (même effacée), les emails de l'utilisateur, des fichiers sur un serveur d'entreprise et même les informations contenues dans un téléphone mobile qui serait branché à l'ordinateur infecté. "On n'a aucune idée où partent ensuite ces données", confesse Nicolas Brulez. Elles seront probablement revendues à l'étranger.
Quel rôle pour Kaspersky ? Le spécialiste de la sécurité en ligne, alerté par des partenaires en octobre dernier, a ouvert une enquête. La supercherie durerait depuis cinq ans. L'éditeur de logiciels antivirus a remonté la trace des hackers derrière cette opération et a retrouvé une soixantaine de sites permettant de relayer les informations à leurs commanditaires. Ce sont surtout des noms russes qui sont ressortis, mais il est possible que ce soit des noms d'emprunt. Il sera vraisemblablement difficile de connaître un jour l'identité des auteurs d'"Octobre Rouge".
La France ciblée ? Parmi les pays visés, on retrouve l'Espagne, la Suisse, la Grèce, la Belgique mais surtout la Russie et de nombreux pays d'Europe de l'Est. L'ambassade de Russie en Irlande, l'aérospatiale du Kazakhstan ou encore un bâtiment diplomatique en Iran. La France ne fait pas partie des pays ciblés mais certaines de ses ambassades étrangères auraient en revanche été visées. "Comme les exploits utilisés par les attaquants étaient déjà connus, nous protégions déjà nos clients", confie Nicolas Brulez.
Quel risque pour l'utilisateur ? "Aucun", affirme Nicolas Brulez. "Au pire, si le Cheval de Troie infecte l'ordinateur d'un particulier, les auteurs s'en aperçoivent et le délaissent : les hackers ne s'intéressent qu'aux données sensibles."
Et maintenant ? Le plus souvent, lorsqu'un tel plan est révélé au grand jour, le mécanisme s'arrête. "On a eu l'exemple de Flame, un autre virus à dimension mondiale : du jour au lendemain, on n'a plus enregistré aucune activité sur les sites en question".
Comment éviter ce genre d'incident ? "Ce type d'opération fonctionne encore car les internautes ne sont pas assez vigilants", assène Nicolas Brulez. "La première des choses à faire est de tenir son ordinateur à jour : dans le cas d'"Octobre Rouge", les failles venaient de Word et d'Excel mais étaient connues. Certaines dataient de 2012 mais d'autres de 2009. Toutes ont bénéficié de correctifs."
>> À LIRE AUSSI : "Flame", un virus au potentiel destructeur