Si dans la conscience collective Babar est un gentil éléphant, ce n'est assurément pas le cas dans la vraie vie. Mise à jour dans des documents d'Edward Snowden révélés par Le Monde en mars 2014, l'existence du programme espion Babar sur lequel les services secrets canadiens ont enquêté, est en train de dévoiler ses secrets. Dans un rapport, l'éditeur de sécurité GData a en effet livré des détails sur ce malware qui permet de collecter de façon ciblée des conversations réalisées par le biais de services de messagerie instantanée comme Skype, MSN ou encore Yahoo Messenger. Certaines traces du programme ont été retrouvées sur des serveurs en Iran, Algérie et Egypte mais également en Grèce, Espagne et en France.
Babar prend ainsi la forme d'un logiciel malveillant de type keylogger (enregistreur de frappes), mais est également capable d'écouter le microphone et le haut-parleur du système sur lequel il est installé. Ce programme serait en outre aussi capable de voler le contenu du presse-papier, fréquemment utilisé pour stocker des mots de passe par des applications comme KeePass. Mais contrairement aux derniers logiciels espions particulièrement sophistiqué, comme celui du groupe Equation en lien avec la NSA, Babar ne semble toutefois pas au niveau techniquement parlant. Paul Rascagnères, auteur d'un rapport pour le compte de l'éditeur en sécurité GData, a ainsi expliqué que Babar a été développé par « une équipe disposant de peu de moyens » et que « le logiciel n'est pas très discret non plus et ne se cache pas outre mesure ».
Des portions de code de Babar retrouvés dans Evil Bunny
Une autre chercheuse en sécurité, Marion Marshaleck de la société Cyphort, est parvenue quant à elle à identifier un autre logiciel espion, baptisé EvilBunny qui pourrait être une ancienne version de Babar. Ce dernier présentant plusieurs similitudes dont certaines portions de code source identiques à certaines trouvées dans Babar.
Pour les services secrets canadiens, la France et en particulier de la Direction Générale de la Sécurité Extérieure pourrait bien être à l'origine de Babar et d'Evil Bunny, plusieurs indices ayant émaillé leur recherche (emploi de codes en octets et non en bytes, surnom Titi, diminutif de Thierry, qui apparaît dans les caractéristiques techniques du logiciel...). Pour autant, rien ne permet de formellement le prouver.