Il y avait Babar, Casper, Bunny… Tous des logiciels espions très perfectionnés aux noms fantaisistes, découverts ces derniers mois. Tous semblent avoir été conçus par la même équipe. Des francophones, probablement des Français. Voire des agents d’un service secret français, selon les «certitudes modérées» des renseignements canadiens, exprimées dans un document classifié qu’a révélé Edward Snowden.

Pour l’heure, le groupe est connu sous le nom d’AnimalFarm. Dans un rapport que Libération a pu consulter avant sa publication, prévue aujourd’hui, l’entreprise de sécurité informatique Eset a analysé une nouvelle création du groupe, un logiciel malveillant appelé Dino, que l'entreprise Kaspersky avait déjà repéré. «C’est un virus d’espionnage très évolué» souligne Joan Calvet, chercheur en logiciel malveillant chez Eset qui a pu travailler sur un exemplaire de Dino.

«Dino a été utilisé en 2013 contre des cibles en Iran», note Eset dans son rapport. A partir des informations dont elle dispose, l’entreprise n’est pas capable de dire précisément qui a été infecté ou visé dans la république islamique, seulement qu’une alerte est venue d’Iran en juin 2013. D’autres virus de la même «famille», fabriqués par les mêmes concepteurs, avaient aussi été détectés en Iran et d’autres Etats avec lesquels la France a des relations tendues, notamment la Syrie. C’est le cas de Casper.

Mais Casper était un virus de reconnaissance : il examinait les ordinateurs pour vérifier que les cibles étaient pertinentes. Dino intervient dans une seconde phase. «Le but principal de Dino semble être l’exfiltration de fichiers», indique Eset. Casper était un éclaireur, Dino un cambrioleur. Ce fonctionnement en deux temps, avec des programmes spécifiques pour le repérage et d’autres pour la récupération d’informations, est caractéristique d’AnimalFarm et des groupes très sophistiqués, réputés proches d’Etats, analyse Joan Calvet. Il cite notamment APT28, soupçonné par les autorités françaises d’avoir attaqué TV5Monde et d’être un groupe russe.

Pour illustrer la sophistication de Dino, Eset détaille son système de recherche interne pour trouver les informations qu’il cherche. Une fois installé dans un ordinateur cible, Dino permet, par exemple, d’obtenir «tous les fichiers Word de plus de 10 Ko modifiés dans les trois derniers jours». D’autres parties du programme sont bien moins perfectionnées. Dino contient même des erreurs basiques, selon Joan Calvet.

Certaines d’entre elles ont permis de confirmer l’origine de Dino. Que ses concepteurs soient francophones fait peu de doute, selon Eset. «La langue de l’ordinateur qui a servi à créer Dino est inscrite dans le programme. Cette langue est le français», explique Joan Calvet. Un mot français, «arithmétique», apparaît aussi dans le code, qui utilise majoritairement des termes en anglais. «Dans un mauvais anglais», précise le chercheur qui se garde néanmoins de faire des conjectures sur l’identité réelle des développeurs : «A partir de l’analyse technique du virus, on ne peut pas aller plus loin.»