ISIS viserait ses détracteurs avec un malware

Un groupe d’opposants au mouvement terroriste de l’État islamique à Raqqa, en Syrie, a été la victime d’une attaque informatique très ciblée visant à traquer ses membres. Il pourrait s’agir du premier cas avéré de piratage imputable à l’EI.

"Merci pour vos efforts visant à rendre compte de la réalité de la situation à Raqqa [ville du centre de Syrie]." Ce petit email de soutien à "Raqqah is being Slaughtered Silently" (RSS), un groupe d’activistes opposé au mouvement terroriste de l’État islamique (EI) était en fait un piège. Il pourrait même être le premier cas répertorié de piratage par l’EI, selon "Citizen Lab", un laboratoire de recherche canadien spécialisé dans les nouvelles technologies de l’information.

Dans une note, publiée jeudi 18 décembre, ces chercheurs détaillent une attaque informatique très ciblée visant essentiellement à révéler aux assaillants l’emplacement des militants de RSS. Tout commence par cet email, accompagné d’une pièce jointe qui contient, soi-disant, un rapport sur la situation à Raqqa et des images satellites. Elle permet surtout d’installer un logiciel malveillant sur l’ordinateur cible.

L'accès au lien fourni dans le courrier électronique malveillant envoie l'utilisateur vers un fichier .zip hébergé sur le site de partage de fichiers tempsend.com. Au moment de cet écrit le fichier avait été téléchargé seulement 10 fois

Ce fichier est une archive auto-extractible avec une icône destinée à suggérer à la victime qu'elle est elle-même un diaporama.

Lorsqu'il est exécuté, le fichier ouvre un diaporama de capture l'écran de Google Earth à la victime, l'affichant une série d'emplacements en Syrie, et en mettant en évidence un «QG d'ISIS» et d'autres images montrant les emplacements présumés de frappes aériennes américaines.

Traquer les membres de RSS

La méthode d’infection est classique, mais la finalité l’est moins. Contrairement à bon nombre de virus modernes qui permettent de prendre le contrôle de l’ordinateur, installer des portes dérobées et voler tout ce qui se trouve sur un disque dur, celui-ci semble tout droit sorti des temps ancestraux des débuts de l’Internet. Il se contente de récupérer l’adresse IP (une adresse numérique attribuée à tous les périphériques connectés à l’Internet) et quelques données sur le système informatique utilisé puis il renvoie automatiquement le tout par email à l’assaillant.

Ces informations permettent de "savoir s’il existe d’autres failles sur les ordinateurs ciblés, en vue, peut-être, d’une attaque à venir plus évoluée", note Jean-François Beuze, fondateur de la société de sécurité informatique Sifaris. "C'est comme un cambrioleur qui fait de la reconnaissance dans un immeuble pour savoir quelles portes sont sécurisées", renchérit Loïc Guézo, spécialiste de la cyber-sécurité pour la société japonaise Trend Micro.

L’adresse IP, quant à elle, donne une idée précise de l’emplacement géographique de l’ordinateur ciblé. "Cela permet de savoir dans quel café Internet ou quel quartier les militants de RSS se trouvent au moment de la connexion", souligne les analystes de "Citizen Lab". Ils précisent que ce genre d’informations présente un intérêt évident pour les membres de l’EI, ce qui attesterait la thèse d’un virus créé par ces terroristes. "Des rapports ont établi que des membres de RSS ont été kidnappés et maltraités par le mouvement terroriste", rappelle Citizen Lab. Ces activistes cherchent, en effet, à transmettre au monde extérieur des documents, photos et vidéos, sur les exactions de l’EI à Raqqa.

Le logiciel malveillant a, pour l’heure, été téléchargé uniquement dix fois, note le "Citizen Lab". Cela peut paraître peu, mais "ce sont potentiellement dix vies qui sont en danger", souligne Jean-François Beuze. Car même si Citizen Lab évoque d'autres pistes, celle de l'EI semble la plus séduisante. Leur but probable : traquer ces activistes pour les neutraliser.

Renfort d’un pirate informatique britannique

Jusqu’à présent, l’EI s’était surtout fait remarquer pour sa propension à utiliser le Net à des fins de propagande. Mais "il n’y avait pas de raison qu’ils ne cherchent pas, comme tant d’autres groupes, à utiliser des armes de cyber-attaque", affirme Jean-François Beuze. Surtout qu’un pirate informatique d’origine britannique, Junaid Hussain, est soupçonné depuis juillet 2014 d’avoir rejoint les rangs de l’EI en Syrie. Cet ex-étudiant de Birmingham s’était fait connaître en 2012 pour avoir publié en ligne des informations personnelles sur l’ancien Premier ministre britannique Tony Blair.

Les militants du groupe de l’État islamique seraient-il prêts à devenir, aussi, des cyber-terroristes ? L’attaque contre RSS, si elle vient bien de l’EI, semble assez simpliste et peu digne d’une organisation prête à des coups de cyber-éclat. Mais qu’on ne s’y trompe pas : "C’est une opération très simple mais qui a un très bon rapport qualité-prix", résume Loïc Guezo.

Pour ce spécialiste, le fait que les assaillants n’aient pas cherché, par exemple, à prendre le contrôle de l’ordinateur ciblé, montre qu’ils "étaient parfaitement au fait de l’environnement technologique à Raqqa" et non pas qu’ils n’étaient pas capables de faire plus. Contrôler à distance un ordinateur nécessite d’avoir une connexion Internet stable, ce qui est difficile à trouver dans cette région de Syrie. Pour sa part, Jean-François Beuze explique qu’un logiciel malveillant plus complexe risquait aussi "d’être découvert plus rapidement". Récupérer une adresse IP et l’envoyer par email est moins susceptible d’affoler les radars des antivirus.

Enfin ce piratage, si l’EI en est bien l’auteur, "envoie aussi un signal à tous leurs ennemis, en Syrie", remarque Loïc Guezo. C’est une manière de leur dire qu’ils sont désormais capables de les traquer sur le terrain grâce aux traces qu’ils laissent dans le cyber-espace.

Source: France24

Comments

[Adealis CBE]

En effet, on peut dire qu'au cours de l'année 2014, on a vu de toutes les couleurs en termes de piratage sur internet. Les cyber pirates et les cyber criminels ne cessent d'augmenter et développent de jour en jour leurs connaissances dans le but de pouvoir nous attaquer encore plus. Le meilleur moyen de ne pas voir sa vie privée et ses données personnelles divulguées publiquement, est de les sécuriser à maximum dans son ordinateur par des mots de passe et des login qu'il faut changer systématiquement.