Il s'appelle "Regin", est malveillant et, de surcroît, extrêmement sophistiqué. Au point que ce logiciel d'espionnage furtif, dont la découverte a été révélée dimanche 23 novembre par le groupe informatique Symantec, semble avoir été sinon créé, du moins supervisé par les services de renseignement d'un Etat.

 Une phase de conception de plusieurs années

Opérationnel depuis 2008, Regin est notamment un cheval de Troie de type "backdoor" (porte dérobée): le vecteur d'infection variant selon la cible choisie, il permet une surveillance en toute discrétion et dans le cadre de missions d'espionnage persistantes de très longue durée. "Même lorsqu'on parvient à l'identifier quelque part, il est extrêmement difficile de déterminer ce qu'il a fait ou ce qu'il recherche", ajoute un chercheur travaillant pour le spécialiste américain de la sécurité informatique, Candid Wueest.

Cette complexité implique une phase de conception ayant duré plusieurs mois, voire plusieurs années, et qui a nécessité un investissement financier important. "Le temps et les ressources employés indiquent qu'une nation est responsable", assure ainsi à l'AFP Candid Wueest.

Le but: récolter des données

Identifié pour la première fois l'an passé par Symantec, "Regin" a d'abord été utilisé entre 2008 et 2011, date à laquelle il a brutalement été retiré. Une nouvelle version de ce "malware" a refait surface en 2013, et celle-ci est toujours active, d'autres versions et fonctionnalités existant sans doute.

Le logiciel, dont le but est de collecter différents types de données -et non pas, à la différence d'autres logiciels du même genre, de saboter un système de contrôle industriel-, est notamment capable de réaliser des captures d'écran, de prendre le contrôle d'une souris et de son curseur, de voler des mots de passe, de surveiller le trafic d'un réseau et de récupérer des fichiers effacés.

Plusieurs pays frappés

Il a frappé au niveau mondial, selon Symantec. Candid Wueest explique:

"Les équipes de Symantec ont détecté des brèches de sécurité avérées dans 10 pays, en premier lieu la Russie puis l'Arabie saoudite qui concentrent chacune environ un quart des infections".

Les autres pays touchés par ordre d'importance sont le Mexique et l'Irlande, suivis par l'Inde, l'Afghanistan, l'Iran, la Belgique, l'Autriche et le Pakistan.

Les entreprises ciblées

Alors que 48% des infections ont touché des adresses appartenant à des fournisseurs de service Internet, les cibles étaient en réalité les clients de ces sociétés. Ils incluent des entreprises, des organisations gouvernementales et des instituts de recherche.

"Sa présence repérée dans des domaines comme l'hôtellerie et l'aéronautique a par exemple pu servir à ses instigateurs pour se renseigner sur les allées et venues de certaines personnes", affirme l'expert de Symantec.