Nom de code « opération Aurora ». C’est d’un titre digne d’un James Bond que les chercheurs de McAfee ont baptisé l’attaque ciblant plusieurs employés de Google et d’autres entreprises américaines. Le géant de la recherche, qui a également subi des tentatives de piratage de ses infrastructures, est allé jusqu’à reconsidérer sa présence sur le marché chinois, pays qu’il soupçonne d’être à l’origine de ces opérations.
Dans un communiqué, le Chief Technology Officer de l’éditeur, George Kurtz, explique que l’un des malwares utilisés dans le cadre de l’opération Aurora a exploité une faille d’Internet Explorer auparavant inconnue.
Microsoft a confirmé la découverte de McAfee et a publié un message d’alerte sur son site. Cette faille concerne toutes les versions récentes d’Internet Explorer (6, 7 et 8) ainsi que la plupart des systèmes d’exploitation de la firme, y compris Windows 7. Cependant, elle aurait essentiellement touché des utilisateurs d’IE 6, lequel laisserait passer l’attaque plus facilement, contrairement à des versions plus récentes du navigateur.
« Un travail de pro »
François Paget, chercheur chez McAfee Labs, en a dit plus à 01net. : « Nous voyons de plus en plus d’attaques zero-day [des attaques qui exploitent une faille d’un programme jusqu’alors inconnue, NDLR], mais dans cet exemple précis nous sommes devant un travail de pro. »
Comment l’attaque s’est-elle déroulée ? « Selon mes informations, poursuit M. Paget, des e-mails très bien personnalisés ont été envoyés à des personnes ciblées, leur proposant de se rendre sur une page contenant l’exploit (1). » Ces e-mails avaient été en effet rédigés pour ressembler comme deux gouttes d’eau à un message provenant d’une personne de confiance. De l’excellent « social engineering », en somme, doublé d’une faille encore jamais vue.
Soit un cocktail explosif pour contaminer en quelques secondes une machine. « A partir du moment où l’utilisateur se rend sur la page infectée, un exploit sous forme de code Javascript malveillant, baptisé exploit-Comele, installe un dropper (2), nommé roarur.dr, sur la machine infectée. Celui-ci implante alors plusieurs fichiers dans Windows, dont une DLL, roarur.dll, qui permet à l’assaillant de prendre contrôle de la machine », poursuit M. Paget.
Une attaque aussi discrète qu’efficace
Contrairement à d’autres assauts informatiques de masse, l’opération Aurora a été pensée dès le départ pour être aussi discrète qu’efficace. Et il n’y a que peu de risques que la machine de monsieur Tout-le-monde soit touchée par ce cheval de Troie. Selon M. Paget, « l’attaque n’a concerné que quelques entreprises et quelques dizaines de personnes, dont des employés de Google, et ne s’est pas reproduite ensuite. Nous connaissons la faille, nous sommes en possession des échantillons du code malveillant et nous surveillons son éventuelle propagation. Mais nous n’avons pas revu ces fichiers sur le Web depuis ».
Pourquoi Aurora, au fait ? « Parmi les fichiers infectés sur une machine, nous avons découvert une DLL qui contenait un lien vers une bibliothèque utilisée pour la compilation des programmes malveillants. Ce lien pointait vers un dossier de la machine de l’assaillant appelé Aurora », précise M. Paget.
Pour l’instant, aucune information découverte dans ces fichiers, toujours en analyse, ne permet de confirmer l’implication de la Chine dans cette attaque. D’autres sources sont plus affirmatives. Selon un rapport d’une filiale de Verisign, cité par Ars Technica, les preuves de l’origine chinoise sont incontestables.
Et l’identité des personnes concernées, parmi lesquelles on comptait aussi des militants chinois des droits de l’homme, ne laisse guère de doutes. « Nous savons qu’un certain nombre d’Etats sont tentés d’utiliser ce genre de moyens pour leurs propres besoins d’espionnage, et la Chine, au même titre que la Russie, fait partie de ces Etats parfois montrés du doigt », dit encore M. Paget. L’opération Aurora rappelle effectivement fortement GhostNet, une gigantesque opération de cyberespionnage en provenance de Chine qui, au début 2009 avait ciblé plus de 1 000 machines à travers le monde, dont celles des bureaux du dalaï-lama ainsi qu’une de l’Otan.
(1) Opération tirant parti d’une faille d’un logiciel pour pénétrer dans une machine.
(2) Un dropper est un fichier téléchargé après une contamination, en fait un cheval de Troie de taille généralement minuscule, dont le rôle est d’installer (et/ou de télécharger) ensuite le véritable code malicieux sur un ordinateur.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.