Areva : hack en septembre, neige en décembre

Actualités - Hack - Posté on 04 Sep 2012 at 9:28 par Solange Belkhayat-Fuchs

Déjà, l’an passé, presque jour pour jour, une intrusion dans l’un des intranets d’Areva avait défrayé la chronique. Enfin… le bruit médiatique relevait plus des hiatus de la gestion de crise que du hack lui-même, hack dont personne n’a plus entendu parler par la suite.

Cette année, la révélation d’une tentative d’attaque vient du blog d’un spécialiste de l’analyse malwarophile, Snorre Fagerland travaillant pour le compte de l’éditeur d’antivirus Norman. Il s’agit, une fois de plus, d’une attaque très ciblée, tentant d’injecter un troyen dérivé de Dark Comet, un outil discret d’administration à distance conçu d’ailleurs par un développeur Français, Jean-Pierre Lesueur. Histoire de corser un peu le côté mystérieux de l’affaire, l’outil était accompagné d’un fichier iTunes, d’un lot de 9 photographies montrant deux hommes affalés dans un canapé, et un courrier interne purement administratif et manifestement détourné de la messagerie d’Areva La Hague. Si cette histoire est publiée ces jours-ci, son déroulement s’est étalé entre la seconde et la troisième semaine du mois de juin 2012.

Mais là où l’affaire prend un tournant inattendu, c’est lorsque Snorre Fagerland se rend compte que le troyen ne peut pas se déclencher, qu’il est paramétré sur l’adresse de bouclage IP, et que, photographies y comprises, son poids dépasse les 30 Mo. Pourquoi lancer un virus qui ne fonctionne pas ? Fagerland émet deux hypothèses : soit il s’agit là d’un tir d’essai, destiné à vérifier la vulnérabilité d’un point d’entrée (les photos n’étant alors qu’une charge fictive), soit les auteurs du virus ont commis bévues sur bévues, et les photos, tout comme le fichier iTunes, auraient bel et bien été stockés sur l’ordinateur de l’attaquant. Mais sans cellule de communication de crise dans les rangs des fabricants d’espionniciels, il y a peu de chance que l’on obtienne un jour le fin mot de l’histoire …

Ces péripéties atomiques ne doivent pas pour autant associer le travail de Jean-Pierre Lesueur à celui d’un auteur de virus. Son projet Dark Comet a été occulté depuis la fin juin, et son outil de récupération d’informations Browser Forensic Tools V2 se montre très persuasif lorsqu’il s’agit de faire parler un navigateur Internet Explorer, Chrome, FireFox ou Opera.

Laisser une réponse