Le Chaos Computer Club (CCC) a indiqué avoir analysé un logiciel espion développé par les services de police allemands qui lui a été soumis par des sources anonymes. Ce logiciel malveillant s'apparente à un cheval de Troie, permettant à la fois de télécharger des données stockées dans un ordinateur, mais également de le commander à distance, et d'activer l'exécution de programmes à l'insu du propriétaire de l'ordinateur infecté. Le CCC déplore des failles béantes dans le design et la mie en place de cet outil, qui le rendent accessible à n'importe qui via internet.
Il faut savoir que depuis 2008, la loi Allemande impose des limites strictes aux outils de surveillance utilisés. Selon le tribunal constitutionnel allemand, seules des écoutes de conversations téléphoniques via le web peuvent être autorisées. Or, selon le CCC, le logiciel analysé va bien plus loin puisqu'il permet d'exécuter des programmes à distance. Ainsi, il permet par exemple d'activer le microphone ou la webcam d'un ordinateur afin de surveiller une pièce. L'outil serait donc, par définition, illégal.
Des failles béantes dans le cheval de Troie de la police allemande
«Cela réfute les déclarations selon lesquelles une séparation efficace entre les écoutes téléphoniques via internet et un cheval de Troie à part entière est possible - ou même souhaitée - dans la réalité. Notre analyse a révélé une fois de plus que les agences fédérales outrepassent leurs droits si elles ne sont pas surveillées de près. Dans ce cas, certaines fonctionnalités sont clairement destinées à outrepasser la loi : elles ont été conçues de manière à pouvoir télécharger et exécuter du code sur le système infiltré» indique le communiqué du CCC.
Le CCC déplore en outre des failles béantes dans la sécurité de ce logiciel, dont les commandes de contrôle ne sont pas protégées correctement, permettant à tout hacker aux connaissances élémentaires de prendre le contrôle d'un ordinateur infecté par ce logiciel sans aucun problème «Nous avons été surpris et choqués par le manque de sécurité, même élémentaire, dans le code. Le niveau de sécurité est à peu près équivalent au fait de régler tous les mots de passe sur '1234'», a déclaré un porte-parole du CCC. Les autorités allemandes n'ont pas encore réagi.
ICTJournal.ch