Les chercheurs en sécurité de Symantec affirment avoir découvert un logiciel sophistiqué d’espionnage. Ils l’ont baptisé : Regin.
Comme il est spécifié sur le blog de Symantec, les chercheurs en sécurité affirment avoir découvert « un logiciel complexe, malveillant, dont la structure affiche un degré de compétence technique rarement vu ». Selon toutes vraisemblances, il s’agit d’un logiciel malveillant qui circule dans le monde dans le but d’espionner les entreprises de service et de télécommunications internet.
Vu la sophistication du logiciel, il est estimé qui a probablement été créé par un organisme gouvernemental. Si son origine est incertaine, une courte liste de pays capables de produire un tel code a été fournie, elle comprendrait notamment les États-Unis, Israël et la Chine.
Selon Symantec, Regin a été utilisé dans une opération d’espionnage qui a débuté en 2008, s’est arrêtée en 2011, puis a repris en 2013.
Une centaine d’infections ont été détectées. 52% représentent des ordinateurs en Russie et Arabie Saoudite, alors que des machines au Mexique, en Irlande, en Inde, en Afghanistan, en Iran, en Belgique, en Autriche et au Pakistan. La Chine et les États-Unis ne semblent pas avoir été ciblés pour le moment.
Alors que seules certaines parties avaient été découvertes, les chercheurs ont par la suite découvert que l’outil possède « un large éventail de capacités ». Selon Liam O’Murchu, un des chercheurs, « La qualité de conception de Regin et l’investissement nécessaire pour le créer est tels qu’il est presque certain qu’il a été conçu par un État-nation […] le meilleur indice est où les infections ont eu lieu et où elles n’ont pas eu lieu ». Avec une telle déclaration, la NSA est bien évidemment clairement dans le collimateur, même s’il existe d’autres possibilités.
Alors qu’un livre blanc explique tout ce qui est connu de Regin, on sait que ce malware attaque les systèmes sous Windows, qu’il se propage en cinq étapes et que seule la première est détectable. Cette première étape consiste à ouvrir la voie pour l’étape suivant, un peu comme le faisait Stuxnet.
À l’heure actuelle, la propagation de Regin reste encore un mystère. Dans un seul cas, il s’est avéré que c’était par le biais de Yahoo Instant Messenger. Dans d’autres cas, il est estimé que c’est par le biais de sites corrompus.
L’espoir de Symantec est que, après avoir publié ses découvertes sur Regin, d’autres informations en provenance d’autres chercheurs viennent compléter les découvertes déjà faites.