Careto : un virus dangereusement sophistiqué dont on ignore qui l'a créé

Atlantico : Un rapport de la société Kaspersky fait état d’un virus « malware » qui pourrait être le plus sophistiqué à avoir été décelé jusqu’ici : le Careto (voir ici). Via la technique du "phishing", la victime est renvoyée vers un site qui scanne les vulnérabilités de son ordinateur, et infecte ce dernier avec pour mission de récupérer toutes les données exploitables. Ce virus est-il aussi effrayant qu’on le dit, et pourquoi ?

Jean-Baptiste Cid : Careto a été conçu à des fins d’espionnage. Il rentre dans la catégorie des Advanced Persistent Threats (APT), c'est-à-dire des menaces informatiques évoluées, persistantes dans le temps, qui ont pour but de dérober des informations. Kaspersky juge que cette APT est la plus sophistiquée parmi celles qui ont été révélées jusqu’à aujourd’hui.

Careto fait par exemple preuve de sophistication lors de la phase d’infection : pour parvenir à s’infiltrer dans un système, une des méthodes utilisée par les créateurs de Careto est d’envoyer des mails de spear-phishing, c'est-à-dire des mails de phishing personnalisés pour chacune de leurs cibles. Ces mails contiennent un lien à l’apparence anodine, ressemblant à des liens légitimes. Ces mails sont bien plus travaillés que les habituels spams peu réalistes et à l’orthographe douteuse, et ne semblent pas suspects. Lorsque les victimes accèdent à la page pointée par le mail, le système d’infection de Careto va détecter le système utilisé et y exploiter des vulnérabilités dont il a connaissance. Ainsi, Kaspersky a révélé avec certitude que des systèmes Windows et Mac OS ont été infectés. Il est également possible que des systèmes sous Linux aient été infectés, mais cela n’a pas encore été prouvé.

Une fois le système infecté, Careto voit tout : il enregistre le trafic réseau, intercepte les communications Skype, récupère les mots de passe et les clés de chiffrement, récupère les SMS des téléphones Nokia pouvant être connectés à l’ordinateur infecté, et peut même prendre des captures de ce qui s’affiche à l’écran.

Careto peut de plus prendre des instructions depuis des serveurs de commande et contrôle (C&C), donnant ainsi le contrôle total du système infecté aux créateurs du malware. Tout cela se fait dans une parfaite discrétion : il aura fallu sept ans pour que l’existence de Careto soit révélée.

C’est finalement le degré de sophistication de son fonctionnement et le temps pendant lequel il est resté non détecté qui font de Careto un malware si particulier.

Sur quelle base ce malware fonctionne-t-il, et en quoi se distingue-t-il des précédents ? Peut-on dire que l’on fait face à un système véritablement intelligent, ciblé - et n'agissant pas à l'aveugle, comme d’autres ?

Contrairement à la plupart des malware « opportunistes », une Advanced Persistent Threat ne vise pas à un maximum de machines afin d’augmenter les chances d’infection réussie. Au contraire, les cibles sont choisies pour leur importance stratégique, le but étant de voler des informations sensibles. Careto n’échappe pas à cette règle : après sept ans d’activité du malware, ce système apparait comme très clairement ciblé : on trouve parmi les 380 victimes avérées des personnes faisant partie d’institutions telles que des entités gouvernementales, des ambassades, des acteurs de l’énergie pétrole et gaz ou encore des activistes.

Lorsqu’une personne est visée, son infection passe systématiquement par des actions humaines de la part des attaquants, et notamment par des actions d’« ingénierie sociale ». Cela passe par exemple par l’envoi d’un mail personnalisé pour la victime, contenant un faux lien vers un article d’un site Web d’actualité, vers une vidéo YouTube ou encore une recette de cuisine.

On peut en effet parler de système « intelligent », en raison de sa grande flexibilité : Careto est capable d’infecter toutes sortes de système d’exploitation, là où les précédents malwares avaient tendance à n’en viser qu’un seul. Il possède plusieurs méthodes d’infections, là où la plupart des malwares n’en connaissent qu’une. Il sait également se rendre discret : par exemple, sur un système Windows, si une pop-up (UAC) doit être affichée pour obtenir les droits d’administration sur une machine, Careto va renoncer à obtenir ces droits afin de rester invisible. Il n’en reste pas moins qu’en dehors de ce type de comportements prédéfinis, le système est contrôlé par un humain et n’est pas capable de prendre ses propres décisions.

Au vu de la très puissante capacité de Careto/The Mask à collecter des données stratégiques, peut-on vraiment supposer qu’un simple particulier se cache derrière ? On peut difficilement s’empêcher de penser à la NSA, dont c’est très clairement la stratégie…

Étant donné le niveau de professionnalisme et d’organisation derrière Careto, il est en effet très peu probable que ce malware soit l’œuvre d’un simple particulier. Il s’agit en effet de développer un malware très complexe, de le faire évoluer, de créer et maintenir des serveurs de commande et contrôle, de créer des scénarios plausibles pour les mails de spear-phishing…  beaucoup de tâches pour une seule personne.

Mais au-delà de ces raisons de faisabilité techniques, la nature même des victimes évoque bien plus un objectif d’espionnage qu’un simple objectif financier, ce qui laisse présager que ce malware a été commandité par une organisation, pas nécessairement gouvernementale.

Rien ne permet de conclure sur la nature de l’organisation en question. Il est par exemple possible que les victimes n’aient pas de lien entre elles, et que les personnes derrière Careto soient des « mercenaires » utilisant leur malware pour le compte de plusieurs organisations. Plusieurs artefacts de compilation de Careto suggèrent que le malware aurait été conçu par des individus parlant espagnol. Le nom « Careto », qui est un mot d’argot signifiant « masque » en espagnol, a été par exemple retrouvé plusieurs fois dans certaines parties du malware. Mais, comme le rappelle Kaspersky, aucune conclusion ne peut être tirée : à ce niveau de sophistication, il est possible que ces indices aient étés laissés volontairement pour induire les analystes en erreur.

Les malwares les plus puissants étant les plus discrets, la détection de celui-ci laisse-t-elle entendre que d’autres sont à l’œuvre ? Outre ce que l'on sait depuis les révélations de Snowden, vient-on de mettre au jour une partie infime de ce qui se fait actuellement en termes de récupération frauduleuse de données ?

Des attaques similaires ont déjà été révélées par le passé. Entre 1998 et 2000, au cours de l’incident Moonlight Maze les réseaux de plusieurs institutions américaines, dont le Pentagone, avaient été infectés dans le but d’en extraire des informations confidentielles. D’autres attaques de ce type ont été révélées depuis, les dernières en date étant notamment Stuxnet, Flame, et maintenant Careto.

Il est plus que probable qu’il existe des malwares du même type que Careto encore en activité, et que ce type de découverte va s’intensifier dans les prochaines années. Les malwares issus d’Advanced Persistent Threats étant utilisés sur un nombre réduits de victimes et étant très spécialisés et réactifs, ils échappent encore souvent aux solutions de sécurité conventionnelles et peuvent infecter des systèmes pendant plusieurs années sans être détectés.

Mais la force de ces malwares reposant surtout sur leur faible taux de propagation, il est peu probable qu’un malware tel que Careto vise massivement le grand public.