C'est dimanche dernier que Symantec a révélé l'existence de Regin. Depuis, les informations fournies par les experts et les entreprises de sécurité informatique laissent soupçonner que les États-Unis et le Royaume-Uni pourraient être impliqués. Les entreprises de sécurité connaissent l'existence de Regin depuis plusieurs années, mais c'est la première fois que Symantec en fait état dans son Livre blanc. On ignore pourquoi les entreprises de sécurité ont gardé le silence sur Regin pendant aussi longtemps. Symantec dit qu'elle a découvert le spyware il y a un an environ et qu'elle a eu besoin d'une année pour l'analyser.

Un jour à peine après la publication du rapport de Symantec, son concurrent Kaspersky Lab a publié son propre livre blanc de 28 pages, dans lequel il affirme qu'il s'est préparé au jour où Regin serait rendu public. La plate-forme Regin est considérée comme très sophistiquée : elle utilise un cryptage et des composants modulaires qui rendent son mode de fonctionnement très difficile à comprendre. Le spyware a été utilisé contre des entreprises de télécommunications, des fournisseurs de services Internet, de petites entreprises et des particuliers, pour collecter des identifiants de connexion et des données sensibles. Il a également servi à infiltrer des relais GSM. Selon Symantec, un grand nombre de cibles visées par Regin ont été localisées en Russie et en Arabie saoudite.

A l'origine d'une attaque contre Belgacom

Selon un article du magazine en ligne The Intercept, publié lundi, Regin serait à l'origine d'une attaque contre l'opérateur de télécommunications Belgacom et il a également été utilisé contre des cibles de l'Union européenne. La publication de First Look Media s'est basée sur une analyse technique du malware et sur le travail de chercheurs ayant enquêté sur ces attaques. Selon l'hebdomadaire allemand Der Spiegel, les documents divulgués par l'ancien consultant de la National Security Agency (NSA), Edward Snowden, indiquaient déjà que Belgacom avait été ciblé par l'agence de renseignement britannique Government Communications Headquarters (GCHQ) dans le cadre d'une opération nommée Operation Socialist. Ces documents ont permis de découvrir les diverses techniques d'attaques utilisées par la NSA et le GCHQ pour mener de vastes opérations de collecte de données très sophistiquées. Ces mêmes documents donnaient aussi des informations sur les cibles. Contactée par courriel en début de semaine, la porte-parole de la NSA, Vanee M. Vines a répondu que l'agence de renseignement américaine ne commenterait pas les spéculations de The Intercept.

Lundi, Kaspersky Lab a affirmé qu'il avait obtenu un échantillon du malware qui avait infecté l'ordinateur d'un spécialiste du chiffrement bien connu, le Belge Jean-Jacques Quisquater. En février dernier, ce dernier avait déclaré à nos confrères d'IDGNS que les enquêteurs de la Cellule fédérale de lutte contre le crime informatique belge (FCCU) lui avaient dit que l'attaque très sophistiquée menée contre son ordinateur portable était directement liée à l'incident Belgacom. « Nous avons pu obtenir des échantillons de Jean-Jacques Quisquater et nous confirmons qu'ils appartiennent bien à la plate-forme Regin », indique le livre blanc publié par Kaspersky. 

Sa sophistication révèle l'intervention d'un Etat

Ronald Prins de Fox-IT, a déclaré à The Intercept que l'entreprise d'investigation informatique avait enquêté sur les attaques contre Belgacom. Selon lui, « Regin est le malware le plus sophistiqué que Fox-IT a eu à analyser », ajoutant qu'il était « convaincu » qu'il avait été utilisé par les États-Unis et les services de renseignement britanniques. D'autres entreprises de sécurité informatique ont été moins affirmatives sur l'origine du spyware. Pour Symantec, Regin est d'une telle sophistication qu'il ne peut avoir été développé qu'avec le soutien d'un état, sans préciser lequel. Dans le communiqué publié lundi, Symantec précise qu'il n'a pas trouvé dans le code de Regin des éléments pouvant identifier son origine et ajoute « ne pas avoir de preuve suffisante pour le relier à tel ou tel pays ou à une institution particulière ».

L'entreprise de sécurité informatique finlandaise F-Secure était tombée sur une première version de Regin en 2009, mais ne s'est pas risquée à dire d'où il pouvait venir. Cependant, Antti Tikkanen, directeur « security response » chez F-Secure Labs, a écrit dans un blog : « Nous pensons, pour une fois, que ce malware ne vient ni de Russie ni de Chine ».

La détection de Regin ajoutée par F-Secure et Microsoft

F-Secure avait trouvé Regin sur un serveur géré par un de ses clients en Europe du Nord. « Celui-ci plantait occasionnellement et affichait le Blue Screen of Death (BSoD), l'écran bleu de la mort », écrit Antti Tikkanen. Il s'est avéré que le pilote à l'origine de ces problèmes était un rootkit, en fait une première variante de Regin. Mikko Hypponen, directeur de recherche chez F-Secure, a écrit sur Twitter que F-Secure avait ajouté la détection de Regin à ses produits, mais qu'elle n'avait pas rendu l'information publique pour protéger l'anonymat de ses clients.

Celui-ci a affirmé qu'« aucun client (ni gouvernement) ne nous a jamais demandé de ne pas ajouter la détection de certains logiciels malveillants spécifiques ». Microsoft était également intervenue sur Regin. L'éditeur en avait fait entrer une variante dans sa base de données de malwares, le 9 mars 2011, mais l'entrée ne contient aucune donnée technique sur le spyware.