Plusieurs incidents d’espionnage ont été révélés au dernier semestre également. Les rapports publiés en novembre 2014 par Symantec, Kaspersky et F-Secure à propos d’un maliciel du nom de Regin ont fait grand bruit.30 Pendant plusieurs années, le cheval de Troie Regin aurait discrètement espionné diverses victimes, dont des cibles basées en Russie et en Arabie saoudite, mais aussi en Europe de l’Ouest, comme en Belgique et en Autriche. Regin offrirait à ses programmeurs des possibilités de surveillance à grande échelle, et aurait servi tout à la fois contre des organisations gouvernementales, des exploitants d’infrastructures, des entreprises, des instituts de recherche et des particuliers. Les activités d’espionnage visant les prestataires télécom méritent une mention spéciale: un cas sur quatre aurait touché de tels opérateurs. Symantec a ainsi découvert une fonction ciblant les stations de base GSM. Kaspersky, qui s’intéressait aussi à ce maliciel, a précisé qu’en avril 2008, Regin avait dérobé des codes d’accès d’administrateurs permettant de manipuler des réseaux GSM au Moyen-Orient. Peu après, le site «The Intercept» a signalé que Regin aurait notamment été utilisé contre l’opérateur Belgacom. Les documents publiés par le lanceur d’alerte Edward Snowden ont conduit ce site à soupçonner les services secrets britanniques (GCHQ).
En janvier 2015, Kaspersky a publié de nouveaux éléments de preuve. Cette entreprise de sécurité a découvert des similitudes entre Regin et un maliciel du nom de Qwerty. Or l’hebdomadaire allemand «Der Spiegel» avait publié peu de temps avant le code source de Qwerty, qui figurait dans la masse de documents copiés par Edward Snowden. Qwerty constituerait le module d’enregistreur de frappes (keylogger) de Regin.31
A la fin de 2014, plusieurs journaux ont signalé la découverte du maliciel Regin sur un ordinateur de la Chancellerie fédérale allemande. Il semblerait que l’infection résulte de l’utilisation d’une clé USB. Cette clé aurait servi auparavant sur le système privé d’un collaborateur de la Chancellerie. Une porte-parole du gouvernement a souligné que le réseau n’avait pas été contaminé.
«Red October reloaded»
L’entreprise de sécurité Bluecoat a découvert en décembre 2014 une attaque d’espionnage ciblé, qui avait pour particularité de se propager aussi aux appareils mobiles fonctionnant sous Android ou iOS, ainsi qu’aux Blackberry. Or pour qu’un iPhone ou un iPad puisse être infecté, il faut d’abord que ses restrictions à l’utilisation aient été désactivées (jailbreak, ou débridage). Le maliciel utilisait en outre un mécanisme de commande et contrôle peu répandu. Toutes les machines infectées communiquaient via https et WebDav avec le même serveur de CloudMe, service suédois de stockage dans le nuage (cloud). Le maliciel, baptisé Inception, a surtout servi à espionner des cadres dirigeants dans les secteurs du pétrole et du gaz, dans les milieux financiers et la défense militaire, au niveau étatique ainsi que dans les ambassades. Il était diffusé par des courriels de spear phishing, dans des documents contenant un cheval de Troie. Kaspersky, qui a également publié des informations sur cette campagne d’espionnage intitulée Cloud Atlas33, considère qu’il pourrait s’agir d’une nouvelle version du maliciel Red October – réseau d’espionnage ayant cessé toute activité aussitôt après la publication, en janvier 2013, d’un rapport de Kaspersky à son sujet. En effet, les traces laissées par Cloud Atlas font penser à la campagne Red October. Non seulement le cercle de victimes est identique, mais le document utilisé pour une des attaques de spear phishing était quasiment le même.
