Chapitre 3 Logiciels malveillants, mouchards et autres espions

Tout système d’exploitation laisse donc des traces, au moins lorsqu’il est en fonctionnement. Au-delà de ces traces, on peut aussi trouver dans nos ordinateurs tout un tas de mouchards. Ils peuvent être soit installés à notre insu (permettant par exemple de récupérer des mots de passe ou des contacts mail), soit présents de manière systématique dans les logiciels qu’on aura installés.

Ces mouchards peuvent participer à diverses techniques de surveillance, de la « lutte contre le piratage » de logiciels propriétaires, au fichage ciblé d’un individu, en passant par la collecte de données pour des pourriels (spam)⁶¹, ou autres arnaques.

La portée de ces dispositifs augmente fortement dès que l’ordinateur est connecté à Internet. Leur installation est alors grandement facilitée si on ne fait rien de spécial pour se protéger, et la récupération des données collectées se fait à distance.

Toutefois les gens qui récoltent ces informations sont inégalement dangereux : ça dépend des cas, de leurs motivations et de leurs moyens. Les auteurs de violences domestiques⁶², les GAFAM⁶³ qui traquent les données des internautes à des fins publicitaires, les gendarmes de Saint-Tropez, ou la National Security Agency états-unienne… autant de personnes ou de structures souvent en concurrence entre elles et ne formant pas une totalité cohérente.

Pour s’introduire dans nos ordinateurs, elles n’ont pas toutes accès aux mêmes moyens ou aux mêmes outils : par exemple, l’espionnage industriel est une des raisons importantes de la surveillance plus ou moins légale⁶⁴, et, malgré les apparences⁶⁵, il ne faut pas croire que Microsoft donne toutes les astuces de Windows à la police française.

3.1 Contexte légal

Cependant, les flics et les services de renseignement français disposent maintenant des moyens de mettre en place une surveillance informatique très complète en toute légalité, en s’appuyant sur plusieurs « mouchards » présentés par la suite.

La loi « renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale » de 2016 ⁶⁶ inclut des dispositions légales qui permettent d’installer des mouchards pour enregistrer et communiquer ce qui s’affiche à l’écran ou ce que les différents périphériques (clavier, webcam, scanner, téléphone portable…) transmettent à l’ordinateur.

La « pose » des ces mouchards est autorisée, à distance ou en pénétrant dans le domicile de la personne surveillée pour y installer les outils nécessaires⁶⁷. Le juge des libertés et de la détention peut le demander lors d’enquêtes préliminaires et de flagrance ; le juge d’instruction lors d’une information judiciaire⁶⁸. Ces mesures ne s’appliquent pas qu’aux actes relevant du « terrorisme » (comme la « prolifération des armes de destruction massive »), mais aussi à nombre de délits dès lors qu’ils sont commis à plusieurs (en « bande organisée »). Cela peut aller de l’aide « à la circulation et au séjour irréguliers d’un étranger en France » en passant par la « destruction, dégradation et détérioration d’un bien »⁶⁹.

La loi relative au renseignement de 2015⁷⁰ donne à peu près les mêmes pouvoirs⁷¹ aux « services spécialisés de renseignement » pour « la recherche, la collecte, l’exploitation et la mise à disposition du Gouvernement des renseignements relatifs aux enjeux géopolitiques et stratégiques ainsi qu’aux menaces et aux risques susceptibles d’affecter la vie de la Nation »⁷².

3.2 Les logiciels malveillants

Les logiciels malveillants⁷³ (que l’on appelle également malwares) sont des logiciels qui ont été développés dans le but de nuire : collecte d’informations, hébergement d’informations illégales, relai de pourriels, etc. Les virus informatiques, les vers, les chevaux de Troie, les spywares, les rootkits (logiciels permettant de prendre le contrôle d’un ordinateur) et les keyloggers font partie de cette famille. Certains programmes peuvent appartenir à plusieurs de ces catégories simultanément.

3.2.1 Exploitation de failles

Afin de s’installer sur un ordinateur, certains logiciels malveillants exploitent les vulnérabilités du système d’exploitation⁷⁴ ou des applications. Ils s’appuient sur des erreurs de conception ou de programmation pour détourner le déroulement des programmes à leur avantage. Malheureusement, de telles « failles de sécurité » ont été trouvées dans de très nombreux logiciels, et de nouvelles sont trouvées constamment, tant par des gens qui cherchent à les corriger que par d’autres qui cherchent à les exploiter.

3.2.2 Ingénierie sociale

Un autre moyen courant est d’inciter la personne utilisant l’ordinateur à lancer le logiciel malveillant en le cachant dans un logiciel en apparence inoffensif. C’est ainsi que, sur un média social lié à la révolution syrienne, un simple lien vers une vidéo amenait en fait les internautes à télécharger un virus contenant un keylogger⁷⁵.

Les adversaires n’ont alors pas besoin de trouver des vulnérabilités sérieuses dans des logiciels courants. Il est particulièrement difficile de s’assurer que des ordinateurs partagés par de nombreuses personnes ou des ordinateurs qui se trouvent dans des lieux publics, comme une bibliothèque ou un cybercafé, n’ont pas été corrompus : il suffit en effet qu’une seule personne un peu moins vigilante se soit fait avoir…

3.2.3 Camouflage

En outre, la plupart des logiciels malveillants « sérieux » ne laissent pas de signes immédiatement visibles de leur présence, et peuvent même être très difficiles à détecter. Le cas sans doute le plus compliqué est celui de failles jusqu’alors inconnues, appelées « vulnérabilités zero-day »⁷⁶, et que les logiciels antivirus seraient bien en peine de reconnaître, car pas encore répertoriées. C’est exactement ce genre d’exploitations de failles « zero-day » que la compagnie VUPEN a vendues à la NSA en 2012⁷⁷.

Des logiciels malveillants peuvent être cachés dans des endroits insoupçonnés de l’ordinateur : ainsi, les processeurs Intel incluent depuis peu un moteur de gestion (Management Engine ou ME en anglais). Or, plusieurs failles de sécurité ont été découvertes en 2017 dans le microprogramme de ce moteur de gestion⁷⁸. Elles permettent d’installer un logiciel malveillant complètement indétectable qui résiste aux mises à jour du système d’exploitation et a accès à l’ensemble du processeur et de la mémoire vive⁷⁹.

3.2.4 Capacités

Ces logiciels permettent d’effectuer de nombreuses opérations : obtenir des numéros de cartes bancaires ou des mots de passe, envoyer des pourriels, participer à attaquer un serveur en le saturant de demandes, etc. Ils peuvent également utiliser le micro, la webcam ou d’autres périphériques de l’ordinateur. Il existe un vrai marché spécialisé où l’on peut acheter de tels programmes, personnalisés pour différents objectifs.

Mais ils servent tout aussi bien à espionner des organisations ou des individus spécifiques⁸⁰, par exemple en exfiltrant des documents stockés sur l’ordinateur (même les documents chiffrés, s’ils ont été déchiffrés à un moment), ou en réduisant à néant des dispositifs d’anonymat sur Internet.

Pour donner un exemple venu des Émirats Arabes Unis, un militant des droits humains, Ahmed Mansour, a été victime d’une attaque ciblée sur son smartphone⁸¹. Un SMS contenant un lien vers un virus lui a été envoyé. Ce virus permettait à la personne le contrôlant d’utiliser la caméra, le micro et de surveiller les activités du téléphone de la victime à tout instant. L’attaque a été déjouée et disséquée grâce à Citizen Lab.

Les services de renseignement et les flics français ont le droit d’utiliser légalement de tels logiciels, ce qui veut très certainement dire qu’ils en disposent. Une suite de logiciels espions attribuée aux services de renseignement français a d’ailleurs été découverte notamment en Iran⁸².

3.2.5 Risque et prévention

Personne ne sait combien d’ordinateurs sont infectés par des logiciels malveillants, mais certaines personnes estiment que c’est le cas pour 20 à 50 % des ordinateurs Windows⁸³. Il est donc fort probable d’en trouver sur l’un des Windows que l’on croisera. Jusqu’à présent, utiliser un système d’exploitation minoritaire (tel que GNU/Linux) diminue significativement les risques d’infection car ceux-ci sont moins visés, le développement de malwares spécifiques étant économiquement moins rentable.

Voici quelques moyens de limiter les risques :

• n’installer (ou n’utiliser) aucun logiciel de provenance inconnue : ne pas faire confiance au premier site web venu⁸⁴ ;
• tenir compte des avertissements des systèmes d’exploitation qui jugent un logiciel peu sûr, ou qui indiquent qu’une mise à jour de sécurité est nécessaire ;
• enfin, réduire les possibilités d’installation de nouveaux logiciels : en limitant l’utilisation du compte d’administration et le nombre de personnes y ayant accès.

3.3 Les matériels espions

Les adversaires voulant mettre la main sur les secrets contenus dans nos ordinateurs peuvent utiliser des logiciels malveillants comme on vient de le voir, mais peuvent tout aussi bien utiliser du matériel espion. Ces gadgets n’ont rien à envier à ceux de James Bond !

Il existe toute une gamme de matériel plus ou moins facilement disponible permettant l’intrusion ou l’exfiltration d’informations d’un ordinateur, à quasiment tous les niveaux. Suite à la publication de documents confidentiels de la NSA via Edward Snowden, un véritable catalogue d’espionnage informatique a été publié sur le journal allemand Der Spiegel⁸⁵.

Sans en faire un tour exhaustif, on peut découvrir pêle-mêle dans ce catalogue de faux connecteurs USB, permettant de retransmettre sous forme d’ondes radio ce qui transite par ces mêmes connecteurs, des minuscules puces installées dans les câbles reliant écran ou clavier à l’ordinateur et faisant de même, pour que des adversaires puissent capter ce qu’on tape ou voient tout en étant à bonne distance. Enfin, pléthore de matériel espion installé dans l’ordinateur, que ce soit au niveau du disque dur, des microprogrammes, etc.

Le tableau n’est pas très encourageant : la vérification méticuleuse de son ordinateur demanderait de démonter celui-ci avec très peu de chance de le remonter de telle manière qu’il puisse fonctionner de nouveau. Une réponse peut être de garder son ordinateur sur soi ou dans un endroit qu’on considère comme sûr. Cela dit, l’ensemble de ce matériel n’est pas à la disposition de tous types d’adversaires. De plus, rien n’indique que l’usage d’un tel matériel est devenu monnaie courante, que ce soit pour des raisons de coût, d’installation, ou autres paramètres.

Nous allons quand même nous attarder un peu sur le cas des keyloggers, qui peuvent entrer à la fois dans la catégorie du matériel espion et des logiciels malveillants.

3.4 Les keyloggers, ou enregistreurs de frappe au clavier

Les enregistreurs de frappe au clavier (keyloggers), qui peuvent être « matériels » ou « logiciels », ont pour fonction d’enregistrer furtivement tout ce qui est tapé sur un clavier d’ordinateur, afin de pouvoir transmettre ces données à l’agence ou à la personne qui les a installés⁸⁶.

Une fois mis en place, leur capacité à enregistrer touche par touche ce qui est tapé sur un clavier contourne donc tout dispositif de chiffrement, et permet d’avoir directement accès aux phrases, mots de passe et autres données sensibles.

Les keyloggers matériels sont des dispositifs reliés au clavier ou à l’ordinateur. Ils peuvent ressembler à des adaptateurs, à des cartes d’extension à l’intérieur de l’ordinateur (PCIe ou mini PCIe) et même s’intégrer à l’intérieur du clavier⁸⁷. Ils sont donc difficiles à repérer si on ne les recherche pas spécifiquement…

Pour un clavier sans fil, il n’y a même pas besoin de keylogger pour récupérer les touches entrées : il suffit de capter les ondes émises par le clavier pour communiquer avec le récepteur, puis de casser le chiffrement utilisé, qui est assez faible dans la plupart des cas⁸⁸. À moindre distance, il est aussi toujours possible d’enregistrer et de décoder les ondes électromagnétiques émises par les claviers avec un fil, y compris ceux qui sont intégrés dans un ordinateur portable…

Les keyloggers logiciels sont beaucoup plus répandus, parce qu’ils peuvent être installés à distance (via un réseau, par le biais d’un logiciel malveillant, ou autre), et ne nécessitent généralement pas un accès physique à la machine pour la récupération des données collectées (l’envoi peut par exemple se faire périodiquement par email). La plupart de ces logiciels enregistrent également le nom de l’application en cours, la date et l’heure à laquelle elle a été exécutée ainsi que les frappes de touches associées à cette application.

Un keylogger logiciel a ainsi été utilisé par la police italienne en 2012 lors d’une enquête sur une radio anarchiste⁸⁹. Un policier états-unien a été condamné pour avoir installé un keylogger sur l’ordinateur professionnel de son épouse, qui travaillait au palais de justice⁹⁰.

La seule manière de repérer les keyloggers matériels est de se familiariser avec ces dispositifs et de faire régulièrement une vérification visuelle de sa machine, à l’intérieur et à l’extérieur. Même si le catalogue de la NSA publié fin 2013 rend compte de la difficulté de trouver soi-même des dispositifs d’enregistrement de frappe à peine plus gros qu’un ongle. Pour les keyloggers logiciels, les pistes sont les mêmes que pour les autres logiciels malveillants.

3.5 Les plateformes d’investigation numérique

Les flics disposent de matériels et de logiciels spécifiques pour extraire et analyser le contenu des disques, clés USB ou autres cartes SD, mais aussi le contenu de la mémoire vive⁹¹ des ordinateurs en fonctionnement. Ils sont fournis par des sociétés spécialisées dans l’investigation numérique⁹². Leurs logiciels permettent par exemple de générer un résumé graphique de l’utilisation d’un ordinateur, de faire des recherches par mots clés, de restaurer des données effacées ou encore de craquer des mots de passe. De telles plateformes existent aussi pour les smartphones⁹³.

3.6 Des problèmes d’impression ?

On croyait avoir fait le tour des surprises que nous réservent nos ordinateurs… mais même les imprimantes se mettent à avoir leurs petits secrets.

3.6.1 Un peu de stéganographie

Première chose à savoir : de nombreuses imprimantes haut de gamme signent leur travail⁹⁴. Cette signature stéganographique⁹⁵, baptisée watermarking, repose sur de très légers détails d’impression, souvent invisibles à l’œil nu, et insérés dans chaque document. Ils permettent d’identifier de manière certaine la marque, le modèle et dans certains cas le numéro de série de la machine qui a servi à imprimer un document. On dit bien « de manière certaine », car c’est pour cela que ces détails sont là : retrouver la machine à partir de ses travaux.

C’est d’ailleurs notamment ainsi que la personne ayant diffusé en juin 2017 des documents top secret de la NSA sur le piratage des élections des États-Unis de 2016 par des hackers russes a été retrouvée. Des marques de l’imprimante utilisée pour imprimer les documents confidentiels étaient toujours présentes lors de leur publication par le journal The Intercept⁹⁶.

Par ailleurs, d’autres types de traces liées à l’usure de la machine sont aussi laissées sur les documents — et ce avec toutes les imprimantes. Car avec l’âge, les têtes d’impression se décalent, de légères erreurs apparaissent, les pièces s’usent, et tout cela constitue au fur et à mesure une signature propre à l’imprimante. Tout comme la balistique permet d’identifier une arme à feu à partir d’une balle, il est possible d’utiliser ces défauts pour identifier une imprimante à partir d’une page qui en est sortie.

Pour se protéger en partie de cela, il est intéressant de savoir que les détails d’impression ne résistent pas à la photocopie répétée : photocopier la page imprimée, puis photocopier la photocopie obtenue, suffit à faire disparaître de telles signatures. Par contre… on en laissera sûrement d’autres, les photocopieuses présentant des défauts, et parfois des signatures stéganographiques, similaires à celles des imprimantes. Bref on tourne en rond, et le problème devient surtout de choisir quelles traces on veut laisser…

3.6.2 La mémoire, encore…

Certaines imprimantes sont suffisamment « évoluées » pour être plus proches d’un véritable ordinateur que d’un tampon encreur.

Elles peuvent poser des problèmes à un autre niveau, vu qu’elles sont dotées d’une mémoire vive : celle-ci, tout comme celle du PC, gardera la trace des documents qui ont été traités aussi longtemps que la machine est sous tension… ou jusqu’à ce qu’un autre document les recouvre.

La plupart des imprimantes laser disposent d’une mémoire vive pouvant contenir une dizaine de pages. Les modèles plus récents ou ceux comportant des scanners intégrés peuvent, quant à eux, contenir plusieurs milliers de pages de texte…

Pire encore : certains modèles, souvent utilisés pour les gros tirages comme dans les centres de photocopies, disposent parfois de disques durs internes, auxquels l’utilisatrice n’a pas accès, et qui gardent eux aussi des traces — et cette fois, même après la mise hors tension.

---

61. Le pourriel ou spam est une communication électronique non sollicitée, le plus souvent du courrier électronique.↩︎

62. Catherine Armitage, 2014, Spyware’s role in domestic violence parle de l’utilisation des malwares et autres outils technologiques par des auteurs de violences domestiques (en anglais).↩︎

63. GAFAM est l’acronyme de cinq grandes firmes états-uniennes — Google, Apple, Facebook, Amazon et Microsoft — qui dominent le marché du numérique.↩︎

64. Pour se faire une idée des problématiques liées à l’espionnage industriel : Wikipédia, 2014, Espionnage industriel.↩︎

65. Microsoft, en partenariat avec Interpol, a fabriqué une boîte à outils appelée COFEE (Computer Online Forensic Evidence Extractor) mise à disposition des polices d’une quinzaine de pays. Korben, 2009, Cofee – La clé sécurité de Microsoft vient d’apparaitre sur la toile.↩︎

66. Légifrance, 2016, loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale.↩︎

67. Légifrance, 2019, Code de procédure pénale, article 706-102-1.↩︎

68. Légifrance, 2019, Code de procédure pénale, article 706-95-12.↩︎

69. Légifrance, 2017, Code de procédure pénale, articles 706-73 et 706-73-1.↩︎

70. Légifrance, 2015, loi n° 2015-912 du 24 juillet 2015 relative au renseignement.↩︎

71. Légifrance, 2017, Code de la Sécurité Intérieure, article L853-2.↩︎

72. Légifrance, 2015, Code de la Sécurité Intérieure, article L811-2.↩︎

73. Toute cette partie est grandement inspirée du passage consacré à la question dans le Surveillance Self-Defense Guide de l’Electronic Frontier Foundation.↩︎

74. D’après l’Internet Storm Center (en anglais), en 2021, un système d’exploitation sur lequel les mises à jour de sécurité n’ont pas été installées se fait compromettre en moins d’une heure si il est connecté directement à Internet.↩︎

75. Eva Galperin et al., 2014, Quantum of Surveillance: Familiar Actors and Possible False Flags in Syrian Malware Campaigns (en anglais).↩︎

76. Wikipédia, 2016, Vulnérabilité zero-day.↩︎

77. Grégoire Fleurot, 2013, Espionnage : Vupen, l’entreprise française qui bosse pour la NSA.↩︎

78. Guillaume Louel, 2017, Nouvelle faille de sécurité de l’Intel ME !, Hardware.fr.↩︎

79. Mark Ermolov, Maxim Goryachy, 2018, How to Hack a Turned-off Computer, or Running Unsigned Code in Intel ME, blackhat.com (en anglais).↩︎

80. Par exemple, une attaque ciblée contre les institutions géorgiennes attribuée aux services secrets russes : Ministry of Justice of Georgia et al., 2012, Cyber Espionage Against Georgian Government (en anglais).↩︎

81. Andréa Fradin, 2016, « Pegasus », l’arme d’une firme israélienne fantôme qui fait trembler Apple.↩︎

82. Martin Untersinger, 2015, Dino, le nouveau programme-espion développé par des francophones, Le Monde.fr.↩︎

83. SafetyDetectives, 2021, Statistiques et tendances : antivirus et cybersécurité 2021.↩︎

84. Ce conseil vaut tout autant pour les personnes utilisant GNU/Linux. En décembre 2009, le site gnome-look.org a diffusé un malware (en anglais) présenté comme un économiseur d’écran. Ce dernier était téléchargeable sous forme de paquet Debian au milieu d’autres économiseurs et de fonds d’écran.↩︎

85. Der Spiegel, 2013, Interactive Graphic: The NSA’s Spy Catalog (en anglais).↩︎

86. Electronic Frontier Foundation, 2021, Enregistreur de frappe.↩︎

87. Nombre de modèles sont en vente libre, par exemple : un adaptateur USB ou une puce à mettre dans un clavier.↩︎

88. Tom Espiner, 2007, Microsoft wireless keyboard hacked from 50 metres (en anglais).↩︎

89. Croce Nera Anarchica, 2018, Resoconto udienze Scripta Manent aprile-luglio (en italien).↩︎

90. Jerome Vosgien, 2019, Un policier installe un keylogger sur l’ordinateur de son épouse.↩︎

91. Cindy Casey, 2019, RAM Analysis Memory Forensics (en anglais).↩︎

92. Wikipédia, 2021, Informatique légale.↩︎

93. Wikipédia, 2021, Cellebrite.↩︎

94. L’Electronic Frontier Foundation tente de maintenir une liste des constructeurs et de ces modèles d’imprimantes indiscrets (en anglais).↩︎

95. Pour en savoir plus sur la stéganographie, nous conseillons la lecture de cet article Wikipédia, 2014, Stéganographie.↩︎

96. Robert Graham, 2017, How The Intercept Outed Reality Winner (en anglais).↩︎