mis à jour le
Des journalistes marocains cibles d'un logiciel espion
Sous les apparences d'un courriel anodin, ce logiciel espion pouvait enregistrer les données et les conversations de ces militants.
Un courriel prétendant révéler un scandale politique retiendrait l’attention de presque n’importe quel journaliste. Mais qu’en est-il si cet email n’était qu’une ruse pour vous faire télécharger des logiciels espions d’un niveau gouvernemental visant à prendre le contrôle total de votre ordinateur? Cela pourrait arriver —comme l’a récemment découvert une équipe primée de journalistes marocains.
Mamfakinch.com est un projet de média citoyen né à la suite du printemps arabe début 2011. Ce site internet populaire critique un gouvernement marocain souvent dur, et il a remporté en juillet un prix de Google et du site Global Voices pour ses efforts «pour défendre et promouvoir les droits à la liberté d’expression sur Internet». Cependant, 11 jours après cette marque de reconnaissance, les journalistes de Mamfakinch ont reçu un courriel qui n’était pas précisément conçu pour les féliciter de leur travail.
«Dénonciation»
Le courriel, envoyé par le biais du formulaire de contact de Mamfakinch.com, était intitulé «Dénonciation». Il contenait un lien vers ce qui semblait être un document Microsoft Word appelé «scandale(2).doc», avec une seule ligne de texte en français: « S’il vous plaît ne mentionnez pas mon nom ni rien d’autre, je ne veux pas avoir de problème ».
Des membres de l’équipe du site, pensant qu’on leur avait envoyé un scoop, ont essayé d’ouvrir le dossier. Après l’avoir fait, ils suspectent que leurs ordinateurs aient été infectés avec quelque chose de vraiment grave. Hisham Almiraat, le co-fondateur de Mamfakinch m’a dit qu’ils avaient dû prendre «des mesures drastiques» pour nettoyer leurs ordinateurs, avant de passer le dossier à des experts en sécurité pour qu’ils l’analysent.
Ce que les experts pensent avoir trouvé était «très sophistiqué», ont-ils dit —quelque chose qui sort de l’ordinaire. Le document «scandale (2).doc» était un faux, dissimulant un fichier caché qui était conçu pour télécharger un cheval de Troie qui pouvait prendre en secret des captures d’écran, intercepter des courriels, enregistrer des conversations sur Skype, et capter des données utilisant le micro et la caméra de l’ordinateur, tout en étant indétectable en tant que virus par l’ordinateur.
Difficile à tracer
Baptisé par des chercheurs de plusieurs noms, comme «Crisis» et «Morcut», ce logiciel espion va détecter en premier le système d’exploitation de l’ordinateur visé, avant d’essayer de l’infecter soit avec une version Mac soit avec une version Window.
Une fois installé, le cheval de Troie essaye de se connecter à une adresse IP qui a été retracée jusqu’à une société d’hébergement américaine, Linode, qui fournit des «serveurs privés virtuels» et héberge des fichiers tout en masquant leur origine. Linode dit qu’utiliser ses serveurs à de telles fins viole ses conditions d’utilisation, et a confirmé que l’adresse IP en question n’était plus active. L’utilisation de Linode constituait une tentative évidente de rendre le cheval de Troie difficile à tracer, selon Lysa Myers, une chercheuse en logiciels malveillants qui l’a analysé.
Mais il y avait quelques indices. Le code du cheval de Troie fait fréquemment référence à l’acronyme «RCS» et mentionne occasionnellement le nom italien «Guido». Cela conduit directement à une société italienne nommée Hacking Team, un des principaux fournisseurs d’outils de type logiciel espion aux gouvernements et aux organismes en charge d’appliquer la loi dans le monde entier.
Le produit phare de Hacking Team s’appelle «Remote Control Systems» un cheval de Troie qu’il décrit comme «un logiciel d’espionnage qui se cache à l’intérieur des dispositifs cibles». RCS peut espionner les discussions sur Skype, enregistrer les frappes sur le clavier, prendre des photos via la webcam —la même chose que le cheval de Troie utilisé pour viser les Marocains. Il peut aussi être adapté pour infecter un ordinateur via «ouvrir un document», selon les arguments commerciaux, et «peut surveiller jusqu’à plusieurs centaines de milliers de cibles».
Un cas pas isolé
Hacking Team n’a pas répondu à nos sollicitations répétées par téléphone et courriel. Cependant, durant une interview en octobre 2011, David Vincenzetti, le co-fondateur, m’a dit que RCS avait été vendu depuis 2004 «à approximativement 50 clients dans 30 pays sur les cinq continents». Alors s’il n’est pas possible d’affirmer que les autorités marocaines utilisent le RCS, le RCS est certainement déployé par des pays dans cette région du monde, selon l’aveu même de David Vincenzetti.
Le cas marocain n’est pas isolé, et il est probable que nous entendions parler d’autres attaques de ce genre à l’avenir. Le mois dernier, comme je l’ai écrit pour Future Tense, certains militants bahreïnis ont été la cible d’un cheval de Troie prétendument conçu par une société anglaise de technologies d’espionnage, Gamma Group, qui est l’une des principales concurrentes de Hacking Team.
Des organisations de défense des droits humains s’inquiètent depuis quelque temps au sujet de sociétés occidentales vendant des équipements de surveillance de haute technologie à des pays dans lesquels ils peuvent être utilisés à mauvais escient. Des preuves de plus en plus nombreuses que ces équipements sont utilisés pour cibler des activistes pro-démocratie et des journalistes pourraient avoir des conséquences pour les sociétés impliquées et donner des arguments en faveur de contrôles plus strictes des exportations.
Ryan Gallagher (traduit par Sandrine Kuhn)
Cet article a initialement été publié sur Slate.com
A lire aussi
Maroc: la monarchie en guerre contre les cyber-activistes
Au Maroc, la presse indépendante renaît sur le Net
Maroc - Cyber-attaques à répétition contre des sites progressistes
Ses derniers articles:
Les mystérieuses formations rocheuses imprimées sur les dollars du Zimbabwe
De l'Indochine à Dakar, comment les nems ont envahi le Sénégal
Dans l'intimité des Saoudiennes
