Si dans la conscience collective Babar est un gentil éléphant, ce n'est assurément pas le cas dans la vraie vie. Mise à jour dans des documents d'Edward Snowden révélés par Le Monde en mars 2014, l'existence du programme espion Babar sur lequel les services secrets canadiens ont enquêté, est en train de dévoiler ses secrets. Dans un rapport, l'éditeur de sécurité GData a en effet livré des détails sur ce malware qui permet de collecter de façon ciblée des conversations réalisées par le biais de services de messagerie instantanée comme Skype, MSN ou encore Yahoo Messenger. Certaines traces du programme ont été retrouvées sur des serveurs en Iran, Algérie et Egypte mais également en Grèce, Espagne et en France.
Babar prend ainsi la forme d'un logiciel malveillant de type keylogger (enregistreur de frappes), mais est également capable d'écouter le microphone et le haut-parleur du système sur lequel il est installé. Ce programme serait en outre aussi capable de voler le contenu du presse-papier, fréquemment utilisé pour stocker des mots de passe par des applications comme KeePass. Mais contrairement aux derniers logiciels espions particulièrement sophistiqué, comme celui du groupe Equation en lien avec la NSA, Babar ne semble toutefois pas au niveau techniquement parlant. Paul Rascagnères, auteur d'un rapport pour le compte de l'éditeur en sécurité GData, a ainsi expliqué que Babar a été développé par « une équipe disposant de peu de moyens » et que « le logiciel n'est pas très discret non plus et ne se cache pas outre mesure ».
Des portions de code de Babar retrouvés dans Evil Bunny
Une autre chercheuse en sécurité, Marion Marshaleck de la société Cyphort, est parvenue quant à elle à identifier un autre logiciel espion, baptisé EvilBunny qui pourrait être une ancienne version de Babar. Ce dernier présentant plusieurs similitudes dont certaines portions de code source identiques à certaines trouvées dans Babar.
Pour les services secrets canadiens, la France et en particulier de la Direction Générale de la Sécurité Extérieure pourrait bien être à l'origine de Babar et d'Evil Bunny, plusieurs indices ayant émaillé leur recherche (emploi de codes en octets et non en bytes, surnom Titi, diminutif de Thierry, qui apparaît dans les caractéristiques techniques du logiciel...). Pour autant, rien ne permet de formellement le prouver.
Le malware Babar décortiqué par des chercheurs en sécurité
11
Réactions
Appartenant à la famille des k, mais également capable d'enregistrer des conversations audio en provenance des messageries instantanées, le logiciel malveillant Babar a été décortiqué par des chercheurs de GData. Il pourrait, ainsi que son supposé prédécesseur Evil Bunny, avoir été développé par la France.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
@daniel.vaillant : Non, un octet et un byte ne sont pas identiques : "Le byte [...] est la plus petite unité adressable d’un ordinateur" (wikipedia). Il s'agit d'une mesure machine qui peut prendre différentes valeurs : un byte peut faire 8 bits(1 octets), 7bits, 9bits... J'ai travaillé sur de machines ou le byte valait 6 bits et d'autres ou il en valait 9.
Signaler un abuspas un commentaire/ une excuse:
Signaler un abusJe viens de m'apercevoir de mon erreur (sans relire le docu par ailleurs). Ce qu'il fallait que je comprenne c'est que l'emploi du mot octets et non du mot bytes conduisait vers des indvidus de langue française et non anglaise.
Par ailleurs, je viens d'entendre aux infos (télévisées) une relation de ces actions de piratage.
cordialement.
Pourquoi faire simple lorsque l'on peut faire compliqué...
Signaler un abusbonsoir,
Signaler un abusPour moi octet c'est huit bit en français et byte c'est huit bit en anglais.
Pour moi sur la fin ça a un peu discrédité l'article du moins son auteur qui ne doit pas être un spécialiste en informatique; surtout qu'octet ou bytes, c'est la B A BA.Ou il a voulu dire autres choses .....
Daniel
On frappe a ma porte.
Signaler un abusBonjour M. de la DGSE. non non, je ne fais pas partie de al k... et je n'ai pas donné des idées de communications à mes petits copains.
Mais pour développer un peu plus l'idée de Arsène Lupin, c'est vrai qu'adapter une stratégie de call of à des objectifs civils pourrait être terriblement redoutable.
"prends la 1ere rue, flingue les 2sentinelles , entre, monte a l'étage, entre dans la salle de réunion et tire sur tout ce qui bouge" ... Un dialogue anodin ....
On frappe a ma porte.
Signaler un abusBonjour M. de la DGSE. non non, je ne fais pas partie de al k... et je n'ai pas donné des idées de communications à mes petits copains.
Mais pour développer un peu plus l'idée de Arsène Lupin, c'est vrai qu'adapter une stratégie de call of à des objectifs civils pourrait être terriblement redoutable.
"prends la 1ere rue, flingue les 2sentinelles , entre, monte a l'étage, entre dans la salle de réunion et tire sur tout ce qui bouge" ... Un dialogue anodin ....
Pour répondre à khalten, le rassemblement sur des espaces de discussion comme ceux cités doit lui-même être très souvent organisé et décidé via un réseau social standard ou une ligne téléphonique. Après il peut y avoir un prise de décision temporelle de rassemblement à telle date et telle heure mais mieux vaut surveiller et archiver les sources les plus prolifiques en information.
Signaler un abusOn frappe a ma porte.
Signaler un abusBonjour M. de la DGSE. non non, je ne fais pas partie de al k... et je n'ai pas donné des idées de communications à mes petits copains.
Mais pour développer un peu plus l'idée de Arsène Lupin, c'est vrai qu'adapter une stratégie de call of à des objectifs civils pourrait être terriblement redoutable.
"prends la 1ere rue, flingue les 2sentinelles , entre, monte a l'étage, entre dans la salle de réunion et tire sur tout ce qui bouge" ... Un dialogue anodin ....
Les messageries instantanées comme skype, messenger et autres sont très connues, et donc très surveillées.
Signaler un abusUne chose me surprend un peu. On ne parle jamais des canaux de communication utilisés par les gamers alors qu'il y a tous les jours de millions de conversations.
Que ce soit Mumble, Teamspeak, steam ...une simple adresse IP à communiquer et on monte gratuitement et anonymement une conférence à 25. Largement de quoi préparer des opérations d'envergure.
Oubli des services secrets, méconnaissance de ce type de solutions ou silence imposé ?
Je partage en partie l'interrogation de Khalten. En effet les canaux de communication de jeux sont très appropriés pour ce genre de communication, et je ne peux pas croire qu'ils soient négligés par les services secrets. Je pense plutôt que les journaux n'abordent pas ce genre de sujets, préférant frapper l'imagination par des sujets grand public du fait "quand le petit dernier parle à grand-mère sur Skype, la NSA se réjouit avec elle de ses progrès !".
Signaler un abusPar ailleurs, le volet technique de l'interception des échanges n'est qu'une (petite) pièce du puzzle de la surveillance des préparations malveillantes; en effet, les acteurs de ce genre de projets ne s'expriment pas en clair, mais utilise des "codes" mis au point via un autre canal: et là, le renseignement humain est irremplaçable, d'autant que dans le contexte des jeux dont parle "khalten", ces "codes" sont tout trouvés: par exemple "boss" pour une cible, "adversaires" pour désigner l'ennemi, "monstre" pour un individu en particulier etc.
Les messageries instantanées comme skype, messenger et autres sont très connues, et donc très surveillées.
Signaler un abusUne chose me surprend un peu. On ne parle jamais des canaux de communication utilisés par les gamers alors qu'il y a tous les jours de millions de conversations.
Que ce soit Mumble, Teamspeak, steam ...une simple adresse IP à communiquer et on monte gratuitement et anonymement une conférence à 25. Largement de quoi préparer des opérations d'envergure.
Oubli des services secrets, méconnaissance de ce type de solutions ou silence imposé ?