Babar, un logiciel malveillant qui aurait été développé par la France,
Il permettrait d'espionner des communications en ligne
Le 2015-02-20 12:39:49, par Amine Horseman, Expert éminent sénior
Les documents de la NSA révélés par Edward Snowden ne cessent de nous étonner, cette fois, c’est la France qui est sous le viseur. En effet, selon ces documents, le centre de la sécurité des télécommunications du Canada (CSEC) suspecte les services secrets français, et ce depuis un bon bout de temps, d’être derrière une série d’opérations cybernétiques en utilisant des logiciels espions.
Surnommé « Snowglobe » par les services de renseignements canadiens, ces derniers expliquent que cette opération, débutée en 2009, visait en premier lieu une demi-douzaine d’institutions iraniennes. Toutefois, la présence de ce malware aurait aussi été signalée au Canada, en Espagne, en Grèce, en Norvège, en Côte d’Ivoire et en Algérie. Selon Le Monde, seule la Direction Générale de la Sécurité Extérieure de France (DGSE) disposerait de « l’expertise technique capable de conduire une telle opération », celle-ci s’était par ailleurs « refusée à tout commentaire sur des activités réelles ou supposées ».
Cependant, il est important de noter que les analystes des services secrets canadiens affichent quand même une certaine réserve sur l’origine exacte de ces logiciels espions. En effet, dans ce genre d’attaques, rien n’est sûr à 100% mais tous les indices laissent à croire qu’il s’agirait bel et bien d’un logiciel espion français. D’abord, les analystes auraient trouvé le surnom d’un développeur du malware au sein du code, il s’agit de « Titi » qui est décrit comme étant un diminutif français. Aussi, le nom interne donné au programme par les développeurs n’est autre que « Babar » du nom du célèbre personnage des livres pour enfants. Les analystes trouvent ensuite des fautes d’orthographes en anglais qui se trouvaient déjà sur EvilBunny, un autre malware suspecté d’être d’origine française. Notons aussi l’utilisation du terme « kilo-octect » dans le code à la place de « kilobyte » anglais.
Le malware a été récemment analysé par des experts en sécurité informatique du cabinet autrichien Cyphort . Selon ceux-ci, le malware aurait la capacité de récupérer des conversations Skype, MSN et Yahoo Messenger ainsi que la liste des sites web visités par l’utilisateur. Une dernière remarque qui permet de lever le doute est que ce logiciel communique avec les mêmes serveurs que EvilBunny et que ces mêmes serveurs hébergent des sites en langue française.
Reste à savoir maintenant si ce malware appartient vraiment aux services secrets français, ou à l’un des vingtaines de pays francophones à travers le monde.
Source : Cyphort
Et vous ?
Surnommé « Snowglobe » par les services de renseignements canadiens, ces derniers expliquent que cette opération, débutée en 2009, visait en premier lieu une demi-douzaine d’institutions iraniennes. Toutefois, la présence de ce malware aurait aussi été signalée au Canada, en Espagne, en Grèce, en Norvège, en Côte d’Ivoire et en Algérie. Selon Le Monde, seule la Direction Générale de la Sécurité Extérieure de France (DGSE) disposerait de « l’expertise technique capable de conduire une telle opération », celle-ci s’était par ailleurs « refusée à tout commentaire sur des activités réelles ou supposées ».
Cependant, il est important de noter que les analystes des services secrets canadiens affichent quand même une certaine réserve sur l’origine exacte de ces logiciels espions. En effet, dans ce genre d’attaques, rien n’est sûr à 100% mais tous les indices laissent à croire qu’il s’agirait bel et bien d’un logiciel espion français. D’abord, les analystes auraient trouvé le surnom d’un développeur du malware au sein du code, il s’agit de « Titi » qui est décrit comme étant un diminutif français. Aussi, le nom interne donné au programme par les développeurs n’est autre que « Babar » du nom du célèbre personnage des livres pour enfants. Les analystes trouvent ensuite des fautes d’orthographes en anglais qui se trouvaient déjà sur EvilBunny, un autre malware suspecté d’être d’origine française. Notons aussi l’utilisation du terme « kilo-octect » dans le code à la place de « kilobyte » anglais.
Le malware a été récemment analysé par des experts en sécurité informatique du cabinet autrichien Cyphort . Selon ceux-ci, le malware aurait la capacité de récupérer des conversations Skype, MSN et Yahoo Messenger ainsi que la liste des sites web visités par l’utilisateur. Une dernière remarque qui permet de lever le doute est que ce logiciel communique avec les mêmes serveurs que EvilBunny et que ces mêmes serveurs hébergent des sites en langue française.
Reste à savoir maintenant si ce malware appartient vraiment aux services secrets français, ou à l’un des vingtaines de pays francophones à travers le monde.
Source : Cyphort
Et vous ?
-
PergosMembre habituéDes hackers français qui se feraient griller à cause de la qualité de leur anglais... Ouais, c'est plausible, en tout cas !le 20/02/2015 à 17:48
-
dlandelleMembre du ClubSi le code est lisible en clair (interprété ?) c'est pas tellement signe de haute technologie
Il ne manquerait plus que les auteurs laissent leur nom dans les commentaires comme d'autres perdent leur carte d'identité pendant les tueries.
Et puis le renseignement national est une notion périmée, la domination est mondiale, et toutes les technologies ont des backdoors baptisées pudiquement failles de sécurité.
La LPM autorise notre surveillance par tous les moyens depuis Noël dernier (juste avant Charlie), alors l'existence de ce type de type de malware n'est pas très subversif, c'est juste légal ! L'arsenal est déjà chez nos opérateurs, pas besoin de venir dans nos PCle 20/02/2015 à 13:28 -
air-dexMembre expert"Titi qui a codé Babar"
Je crois qu'on a retrouvé l'équipe de développement du spyware. le 20/02/2015 à 19:39 -
yahikoRédacteur/ModérateurLa piste des services secrets français est donc tout à fait possiblePaul Rascagnères, auteur d'un rapport pour le compte de l'éditeur en sécurité GData, a ainsi expliqué que Babar a été développé par « une équipe disposant de peu de moyens » et que « le logiciel n'est pas très discret non plus et ne se cache pas outre mesure ».le 20/02/2015 à 21:30
-
LeBressaudMembre confirméC'est pas une grande performance, les conversations sont stockées en clair dans le dossier AppData sur Windows (je suppose que sur les autres OS c'est la même chose)Selon ceux-ci, le malware aurait la capacité de récupérer des conversations Skype, MSN et Yahoo Messenger ainsi que la liste des sites web visités par l’utilisateurle 20/02/2015 à 17:51
-
awak35Membre du ClubOuaip. Gaaaarde à voooous... J'en vois un qui rigolele 23/02/2015 à 15:28
-
sebbodMembre avertiSi y'en a que ça intérresse j'ai trouvé ce document :
https://drive.google.com/file/d/0B9M...eTA/view?pli=1
ça explique le fonctionnement de Babar un peu plus en détail
EDIT : d'ailleurs il contient les même images que la source de ce post et aussi la même introduction, je suis en train de me demander si ce n'est pas le même
Mais non ce document est plus complet que la source de ce postle 24/02/2015 à 10:30