Regin, ce virus espion a-t-il pu être développé par un Etat ?

Symantec, spécialiste en sécurité informatique qui a identifié le malware Regin, le trouve trop complexe pour ne pas être suspect.

Dimanche, la société experte en sécurité informatique Symantec publiait un rapport dont les premiers mots se voulaient volontairement alarmistes : “Dans le monde des menaces liées aux malwares, rares sont ceux qui peuvent être réellement considérés comme révolutionnaires et hors pair. Celui-ci est l’un d’eux”.

De quoi parle Symantec ? D’un virus qu’il a identifié et baptisé Regin. Il est tellement techniquement complexe que la société va jusqu’à préciser que “son développement a certainement duré des mois, sinon des années”. Et à demi-mot, affirme que sa naissance n’est pas liée à un hacker que l’imaginaire collectif voit bien caché au fond d’une cave.

Comment fonctionne Regin ?

Mais si Regin n’est pas né d’un ou plusieurs hackers, d’où vient-il ? Symantec accuse presque sans fard :  leur découverte est sans doute “un des principaux outils de cyber-espionnage d’un Etat”. Et figurez-vous que leurs confrères Kaspersky ne disent pas autre chose, en parlant d’un virus financé et développé par une nation.

Les experts de Symantec estiment que Regin, cheval de Troie qui s’attaque aux machines tournant sous Windows, compte en lui pas moins de 50 fonctions différentes, un couteau suisse de l’espionnage en quelque sorte. Son mode de propagation n’est pas encore pleinement identifié, mais les chercheurs pensent qu’il peut être diffusé par de traditionnelles méthodes de phishing, en copiant des sites web connus. Une fois exécuté bien au chaud au cœur de l’ordinateur, Regin lance une deuxième partie de programme, ce dernier faisant de même avec une troisième partie et ainsi de suite jusqu’à 5 étapes. A partir de là, libre à lui d’avoir accès à toute la machine.

Quel Etat pourrait être derrière Regin ?

Russie et Arabie Saoudite sont les cœurs de cible préférés de Regin, mais Autriche et Belgique en ce qui concerne l’Europe, sont également concernés. Mais alors, quel pays est derrière cela ? Ni Symantec ni Kaspersky ne se risquent à ce stade des investigations à nommer de pays. Mais ils sont peu à être dotés d’une telle capacité technique, et Regin présente des similitudes avec les derniers gros virus Stuxnet et Flame.

Stuxnet, dont la mission consistait à espionner en nuire au programme d’enrichissement nucléaire iranien, avaient été développé par Israël et les Etats-Unis. Le site Re/code cite pour sa part, et outre ces pays, la Chine. Chez Symantec, on reste prudent : “On ne fait pas d’attribution tant que l’on n’a pas de faits concrets, de preuves irréfutables… mais il est certain qu’on peut tirer des conclusions” confie Candid Wueest, l’un des experts.