Son nom est Regin, Backdoor.regin, et il travaillerait au Service de sa Majesté ou pour l’Oncle Sam. En circulation sur Internet depuis plusieurs années, il n’a été détecté que très récemment par les créateurs d’antivirus. Il aurait déjà infecté de nombreux ordinateurs, dont ceux de l’Union Européenne. Sa particularité ? C’est un malware d’une complexité jamais vue auparavant.
Symantec, l’entreprise qui a développé l’antivirus Norton, a récemment découvert un nouveau malware (programme malicieux) en circulation sur le Net. Il s’agit d’un Cheval de Troie (ou Trojan en anglais), c’est-à -dire un programme incapable de se propager de lui-même sur internet, mais pouvant effectuer des modifications sur un ordinateur à l’insu de son propriétaire.
Une fois activé, il met en place un système dit de « porte dérobée » qui permet à un individu extérieur d’effectuer secrètement des opérations sur l’ordinateur de sa victime. Il permet généralement d’installer d’autres logiciels d’espionnage sur l’ordinateur infecté. Citons entre autres les keylogger (qui espionnent les frappes au clavier), un moyen de prendre des captures d’écran de l’ordinateur ciblé, voire complètement de prendre le contrôle de la machine à distance. Les possibilités sont alors nombreuses…
Ce type de virus est très répandu sur internet, et leur suppression est généralement aisée. Seulement, Regin est un cheval de Troie d’une complexité jamais vue. Véritable ninja informatique, il est capable de passer inaperçu aux yeux de tous les systèmes de défense connus en utilisant tout un arsenal de techniques de camouflage. Il se fait également passer pour un processus Windows pour ne pas éveiller les soupçons des utilisateurs. Pire encore, le trojan est capable d’effacer les traces de ses méfaits en encodant tous les fichiers parasites qu’il introduit en douce dans le système de sa victime, rendant tout contenu malicieux indétectable.
Tout cela a amené Symantec à conclure que le développement d’un tel cyber-espion a duré des mois, si ce ne sont des années, et que seul un État était en mesure de développer un tel malware. Qui a fait le coup ? Certains pointent du doigt les services de renseignements Américains, d’autres ceux de Grande-Bretagne. Quoi qu’il en soit, ce virus a été lâché sur la toile depuis 2008 et n’a pas perdu son temps. Il a principalement infecté des ordinateurs russes, saoudiens et même ceux de l’Union Européenne. Son but n’est pas seulement la collecte d’informations, il surveille aussi en permanence l’activité des machines qu’il a envahies.
Ce trojan existerait sous de nombreuses formes. Hélas, Symantec n’en a détecté que quelques-unes, signifiant que Regin n’a pas fini de faire parler de lui.
Par Robin OSSTYN
Sources : Symantec ; Le Monde ; Numerama ; Microsoft Malware Protection Center ; Silicon.fr ; The Intercept ; l’express : l’expansion
