C’est une affaire qui reste mystérieuse. Elle a un relent de romans d’espionnage et pourtant, elle est bien réelle. Elle est révélée par une autorité en matière de sécurité informatique.

«The Mask, l’une des campagnes de cyber-espionnage les plus avancées jamais découverte à ce jour», prévient d’emblée Kaspersky Lab dans un rapport de 65 pages disponible en PDF. Et la cible n°1 de ce virus ultrasophistiqué n’est autre que le Maroc, plus précisément ses institutions gouvernementales, comme le démontre l’infographie de Kaspersky, sobrement baptisée «Careto, à la conquête du cybermonde».

Preuve indéniable de sa complexité, The Mask a sévi de 2007 à janvier 2014, date à laquelle les serveurs de contrôle de Careto ont été désactivés, faisant 380 victimes issues de 31 pays et réparties sur plus de 1.000 adresses IP, sans jamais être détecté, soit 7 ans d’infiltration sans être inquiété par les anti-virus les plus performants.

Le Maroc, victime d’une campagne de contre-espionnage ?

Avec 384 attaques, le Maroc apparaît clairement comme la cible préférée de ce malware et devance à lui seul ses 4 victimes suivantes réunies: le Brésil (137), le Royaume-Uni (109), la  France (53) et l’Espagne (51).

Pour le moment, impossible de déterminer avec exactitude quelles sont les cibles de ce virus au Maroc. Malgré plusieurs appels de notre part, la Défense Nationale n’a toujours pas répondu à nos questions.

Nous nous contenterons donc du rapport de Kaspersky qui précise qu’au Maroc, ce sont surtout les institutions gouvernementales qui se sont trouvées dans la ligne de mire de ce virus. Dans les autres pays attaqués, ce sont les gouvernements, les missions diplomatiques, les entreprises du secteur énergétique, les organismes de recherche, des sociétés de capitaux privés ou encore les militants politiques.

Selon Kaspersky, le logiciel espion a permis à ses concepteurs de dérober des documents extrêmement sensibles. 

Infection désastreuse

«Pour les victimes, une infection par Careto peut être catastrophique», assure l'entreprise russe. «Careto intercepte tous les canaux de communication et recueille les informations les plus essentielles de l'appareil de la victime. Le détecter est extrêmement difficile en raison des capacités de discrétion de ce logiciel furtif, de ses fonctionnalités intégrées et de ses modules additionnels de cyber-espionnage», ajoute-t-elle.

Ainsi, quand un ordinateur est infecté, les pirates peuvent intercepter plusieurs données comme le trafic internet, les frappes sur le clavier ou les conversations via Skype. Ils peuvent également infecter les téléphones portables et des tablettes, y compris ceux qui disposent de systèmes d'exploitation Google et Apple.

Qui se cache derrière?

Selon les données fournies par l’éditeur, The Mask est trop sécurisé pour provenir de groupes cyber-criminels. A contrario, les experts de Kaspersky Lab affirment avoir plusieurs raisons de croire qu'il s'agit d'une campagne sponsorisée par un Etat.

Ces experts prennent également en compte la langue utilisée pour tenter de déterminer son origine. «Le fait que les pirates de Careto semblent parler espagnol est peut-être l'aspect le plus étrange. Alors que la plupart des attaques connues de nos jours sont remplies de commentaires en chinois, les langues comme l'allemand, le français ou l'espagnol sont très rares», lit-on dans le rapport.

A la fin du rapport, Kaspersky explique que The Mask repose sur un exploit «Zero-Day», celui-là même qui a été vendu  en septembre 2013 à la NSA par la société française Vupen, dirigée par Chaouki Bekrar. «Cet exploit n’est pas de nous», a réagi l’expert dans un tweet laconique. 

Au Maroc, la sécurité informatique relève de l'administration de la Défense nationale. En 2011, le Maroc s’est doté de deux instances nationales de sécurité des systèmes d’information. Selon le Global Cybersecurity Index, un rapport publié en novembre 2013, le Maroc était classé deuxième de la région Mena en terme de sécurité informatique, derrière le sultanat d’Oman. 

L’administration de la Défense nationale a créé une direction générale de la sécurité des systèmes d’information, bénéficiant d’une coopération internationale dans ce domaine.