Le fournisseur de solutions de sécurité McAfee a publié cette semaine un rapport détaillé sur un groupe de pirates qui aurait forcé la porte de 72 entreprises, organisations internationales et organismes gouvernementaux, dans 14 pays depuis 2006, pour dérober des secrets nationaux, des documents commerciaux et autres informations sensibles. Selon le rapport, les assaillants semblent appartenir à un groupe unique agissant pour le compte d'un gouvernement, un profil qui diffère de celui de groupes d'activistes comme Anonymous et LulzSec responsables d'attaques récentes moins sophistiquées. Dans son document, l'éditeur américain racheté l'été dernier par Intel ne dit pas pour quel pays travailleraient ces pirates, contrairement à Google, qui, pas plus tard que le mois dernier, a accusé la Chine de pirater les comptes Gmail de plusieurs responsables américains de haut rang.

Ces attaques, désignées sous le nom d'Operation Shady Rat, ont été découvertes après que McAfee a eu accès à un serveur de commande et de contrôle qui a recueilli les données d'ordinateurs piratés sur lesquelles ont été conservées la trace de ces intrusions. « Après une analyse minutieuse des états de logs, nous avons été nous-mêmes surpris par l'énorme diversité des entreprises touchées, mais aussi par l'audace des attaquants », écrit Dimitri Alperovitch, vice-président de la recherche sur les menaces chez McAfee, et auteur du rapport. Ce dernier estime même qu'au cours des cinq à six dernières années, il n'y a rien eu de comparable en matière de « transfert de richesse » résultant d'une opération de piratage.

Des données de diverses natures

Parmi les données volées, on trouve un peu de tout. « Des renseignements classifiés transitant sur les réseaux gouvernementaux, du code source, des archives de mails, des informations relatives à des contrats de prospection de pétrole et de gaz, des contrats juridiques, les configurations du système de télésurveillance et d'acquisition de données SCADA (Supervisory Control and Data Acquisition), des documents de cabinets d'études et plus encore », révèle le rapport de Dimitri Alperovitch. McAfee a refusé de dire quelles entreprises et organisations avaient été touchées, mais parle « d'une entreprise sud-coréenne du secteur de l'aluminium », « du premier fournisseur d'armes du gouvernement américain », ou encore « d'entreprises d'électronique taïwanaises », entre autres. Parmi les organisations nommées, on trouve le Comité international olympique (CIO), l'Agence mondiale anti-dopage, les Nations Unies et le Secrétariat de l'ASEAN (Association des nations de l'Asie du Sud-Est). Ces organisations ne présentent pas d'intérêt économique pour les pirates, signe que ces intrusions revêtent un caractère politique, « une action menée par un Etat », pense Dimitri Alperovitch.

Un piratage qui culmine en 2009, puis décline

Le groupe de pirates a eu accès aux ordinateurs en envoyant des emails ciblés à des individus au sein des entreprises ou des organisations. Ces emails contenaient un germe d'attaque (« exploit ») qui, lorsqu'il était exécuté, provoquait le téléchargement d'un morceau de logiciel malveillant qui communiquait avec le serveur de commande et de contrôle.

En 2006, huit organisations ont subi de telles attaques, un nombre qui a grimpé à 29 en 2007, indique le rapport. Le nombre d'organisations victimes de ce piratage est passé à 36 en 2008, pour culminer à 38 en 2009, avant de décliner, « probablement en raison de la mise à disposition de contre-mesures pour empêcher ces modalités d'intrusions spécifiques utilisées par cet acteur particulier », indique l'auteur du document. La durée des intrusions est allée de moins d'un mois à plus de deux ans dans le cas du Comité olympique d'un pays asiatique dont le nom n'est pas non plus mentionné.

Source illustration : McAfee