C’est le plus vaste réseau de cyber-espionnage jamais découvert. L’opération “Red October”, lancée en 2007 par des cybercriminels, visait à dérober des informations sensibles d’organisations telles que des ambassades, des centres de recherche, des compagnies pétrolières ou encore des institutions militaires et financières.

Les victimes se trouvent “essentiellement en Europe de l’Est, dans les pays de l’ancienne Union soviétique, et en Asie centrale”, expliquent les experts de Kaspersky, la société de sécurité informatique russe à l’origine de cette découverte, dans un rapport détaillé mis en ligne sur leur blog securelist.org.

Mais ces cyber-espions ont, en fait, ratissé très large et des attaques ont également visé une soixantaine de pays dont la France, les États-Unis ou encore le Qatar et l’Afrique du Sud. En France, les pirates informatiques derrière “Red October” se sont intéressés à des cibles diplomatiques et militaires.

Il y a eu “au moins 250 IP [adresse physique d’ordinateurs connectés à Internet, NDLR] dans le monde qui se sont connectées aux serveurs contrôlés par ces espions”, souligne Nicolas Brulez, expert en logiciels malveillants pour Kaspersky, joint par FRANCE 24. Il précise que ce ne sont que les victimes qui ont pu être identifiées de 2010 à 2012, et que le nombre total d’infections est sûrement plus important.

"Otan et Union européenne"

Ces cyber-voleurs ont cherché à récupérer une vaste gamme de fichiers, aussi bien des documents Word, Excel que des carnets d’adresse sur iPhone. “Nous avons également constaté qu’ils voulaient mettre la main sur des fichiers cryptés à l’aide d’un programme utilisé par l’Union européenne et l’Otan”, précise Nicolas Brulez. En revanche, les experts de Kaspersky ne précisent pas si ces attaques ont été couronnées de succès.

Ce qui est sûr, en revanche, “c’est que cette opération de cyber-espionnage est l’une des plus sophistiquées depuis Flame [le virus qui a permis en 2010 de ralentir le programme nucléaire iranien, NDLR]”, estime Alexei Chachourine, expert en cybercriminalité pour la société française de conseil en sécurité informatique Lexsi, contacté par FRANCE 24. Une fois un ordinateur (ou un smartphone) infecté par une pièce jointe piégée dans un mail, le logiciel malveillant pouvait installer jusqu’à 34 modules ayant tous une fonction différente. “C’est du jamais vu jusqu’à présent”, affirme Alexei Chachourine.

Ces modules peuvent fournir aux cyber-espions la liste des programmes présents sur un ordinateur, récupérer des documents qui ont été effacés, ou encore voler le carnet d’adresse sur un iPhone, Nokia ou smartphone windows. Sachant que ce réseau est actif depuis 2007, le butin peut s’avérer très conséquent.

Brouiller les pistes

Pour brouiller les pistes, ces espions ont mis en place plusieurs passerelles pour éviter d’être facilement identifiés. Ils ont ainsi acheté une soixantaine de noms de domaine (des adresses internet telles que microsoftupdate.com ou drivers-get.com) tous reliés à une dizaine de serveurs localisés en Allemagne et en Russie. Ces derniers envoyaient à leur tour les informations à trois autres serveurs “également installés dans ces mêmes pays”, d’après Nicolas Brulez. Enfin, tout en haut de cette pyramide, un dernier serveur “n’a malheureusement pas pu être identifié”, reconnaît cet expert de Kaspersky.

Impossible, donc, à l’heure actuelle, de dire qui est derrière “Red October”. L’identification va être d’autant plus difficile que depuis la révélation, lundi, de l’existence de ce réseau, ces cybercriminels “ont commencé à fermer toute l’infrastructure de l’opération”, remarque Nicolas Brulez. “On pense seulement savoir qu’ils sont russophones”, notent tout de même les auteurs du rapport de Kaspersky

Ce n’est en tout cas probablement pas l’œuvre d’un pirate informatique isolé. Une telle opération “nécessite un grand nombre d’individus qui travaillent dessus à plein temps”, estime, pour sa part, Alexei Chachourine. Pour lui, les deux principales pistes sont une campagne d’espionnage soutenue par un État ou “une opération menée par une officine d’intelligence économique qui va revendre sur les informations collectées sur le marché noir”.