Après Stuxnet et Duqu, un troisième virus dans la guerre israélo-iranienne : Mahdi

Publié le : 18 juillet 2012
Print Friendly

L’ère de la guerre informatique est plus que jamais lancée. Outre des milliers de cyber-attaques annuelles lancées par des gouvernement contre d’autres Etats, outre les manipulations et rumeurs qui traversent la planète grâce à l’outil informatique, outre les hackings divers permettant aux virtuoses du Mac ou du PC de s’accaparer des informations secrètes à travers le 2.0, il est une guerre secrète dont seulement quelques bribes d’informations paraissent de temps en temps. C’est le cas avec la fameuse guerre des virus informatiques entre l’Iran et Israël (enfin, on présume).

Tout le monde a entendu parlé de Stuxnet et de son petit frère encore plus fort, Duqu. Des virus qui seraient signés de la patte israélienne si l’on en croit certains experts. Ils auraient permis de faire cesser pendant quelques temps les centrales d’enrichissement d’uranium Siemens en Iran puis, avec l’arrivée de Duqu, de pouvoir prendre le contrôle d’un ordinateur spécifique (attaché au programme nucléaire) pour y tirer des informations (entre autres). Ce deuxième virus, « le plus puissant jamais découvert à ce jour » selon les experts antivirus de Kaspersky, a même la capacité de s’auto-détruire s’il est découvert !

C’est au milieu de ce terrain de batailles que les chercheurs de Kaspersky Lab (Russie) annoncent les résultats d’une enquête menée conjointement avec la société israélienne Seculert spécialisée dans la détection de menaces. Ces investigations portent sur « Madi », une campagne de cyberespionnage qui sévit actuellement au Moyen-Orient.

Inscrivez-vous à la newsletter de JSSNews

Découverte à l’origine par Seculert, Madi s’infiltre dans les ordinateurs en réseau sous la forme d’un cheval de Troie transmis par des techniques de « social engineering », visant des cibles soigneusement sélectionnées.

Les deux sociétés ont ainsi identifié plus de 500 victimes en Iran (387), en Israël (57), en Afghanistan où les Américains sont encore présents (14) et dans certains autres pays à travers le monde. Les statistiques de surveillance révèlent que les victimes sont principalement des hommes d’affaires travaillant pour des projets iraniens ou israéliens dans le domaine des infrastructures critiques ou pour des établissements financiers israéliens, ou encore des étudiants ingénieurs au Moyen-Orient, ainsi que diverses administrations communiquant dans cette région.

En outre, l’examen du programme malveillant a fait ressortir une quantité inhabituelle de documents ou d’images de « diversion » à caractères religieux ou politique, distribués au moment de l’infection initiale.

Le cheval de Troie Madi permet de dérober à distance des fichiers sensibles sur les ordinateurs Windows infectés, d’espionner des communications confidentielles (e-mails ou messages instantanés) ou encore d’effectuer des enregistrements audio ou des frappes clavier et des copies d’écran des activités des victimes.

Parmi les applications courantes et les sites web espionnés, figurent des comptes sur Gmail, Hotmail, Yahoo! Mail, ICQ, Skype, Google+ et Facebook. La surveillance porte également sur des systèmes ERP/CRM intégrés, des contrats entre entreprises et des systèmes de gestion financière.

Mahdi, qui est nommé d’après les fichiers utilisés dans les logiciels malveillants, se réfère au messie chiite musulman qui, il est prophétisé, arrivera avant la fin des temps pour nettoyer le monde des actes répréhensibles et accorder la paix et la justice avant le Jour du Jugement. Mais ce Mahdi là est seulement intéressé par un type de fichier particulier les PDF, Excel et documents Word des machines de ses victimes.

S’il est impossible de réellement savoir si ce « messie » vient d’Iran, il est tout autant possible d’imaginer qu’il ait été conçu par un Israélien d’origine iranienne (donc qui parle couramment le farsi) afin de s’intégrer au mieux dans le petit monde du nucléaire militaire iranien.

Affaire à suivre…

Eric Petrosino – JSSNews
Rejoignez les 24.000 amis de JSSNews sur Facebook ! 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *