Le réseau cyber-espion basé en chine, connu sous le nom de «GhostNet» est un groupe complexe de pirates capable d'enregistrer chacune des frappes clavier de ses victimes, de voler leurs documents, de capturer des images de leur écran et de les observer secrètement via leur propre webcam.
Dans un rapport publié le mois dernier, des chercheurs canadiens ont conclu que GhostNet avait accédé à au moins 1 295 ordinateurs dans 103 pays et avait visé en particulier le dalaï-lama ainsi que d'autres militants et responsables tibétains. Voler des documents et enregistrer des frappes clavier, je peux le comprendre. On peut obtenir toutes sortes d'informations utiles en lisant les courriers électroniques des gens ou en consultant leurs comptes bancaires. Mais les épier à travers leur caméra Web? C'est à donner la chair de poule, même quand on connaît les techniques habituelles des cercles d'espions nébuleux qui sévissent sur la Toile. C'est une chose de lire la conversation du dalaï-lama sur un chat (messagerie instantanée), c'en est une autre de l'observer quand il est MDR (mort de rire).
GhostNet est peut-être l'exemple le plus connu en matière d'infiltration de webcam, mais il n'est certainement pas le premier. Cette pratique remonte à 1998. Un groupe de pirates qui se fait appeler The Cult of the Dead Cow [Le Culte de la vache morte] met alors au point un logiciel qui, une fois téléchargé sur un ordinateur, permet à quelqu'un d'en prendre le contrôle à distance. Tout ce que vous pouviez faire en étant assis à votre bureau, on pouvait désormais le faire à des milliers de kilomètres. Depuis la création de documents à la lecture de morceaux mp3, en passant par l'ouverture du lecteur de disque. Ils ont surnommé leur programme Back Orifice, un jeu de mot dérivé du nom du serveur BackOffice de Microsoft. Les auteurs de ce logiciel «n'étaient pas des types malveillants», affirme Fred Heidt, PDG de Leviathan Security, une société spécialisée dans la sécurité de l'information. «Ils ont juste trouvé que c'était super marrant.»
Quoique beaucoup moins répandues que d'autres types d'extorsion en ligne, les arnaques par Webcam existent. En 2004, quatre pirates basés en Espagne ont été arrêtés après avoir menacé de publier sur Internet des vidéos réalisées par des webcams cachées si leurs victimes refusaient de leur donner de l'argent. En 2008, un Canadien a fait savoir à des jeunes filles qu'ils possédait des photos d'elles nues et qu'il les diffuserait sur le Net, à moins qu'elles n'acceptent de poser nues pour lui de nouveau.
Les gouvernements et les entreprises s'y sont adaptés. Par exemple, le département américain de la Défense a mis en place une règlementation concernant les endroits où on est autorisé à transporter un ordinateur portable. Et contrairement aux vers informatiques les plus sophistiqués, il ne s'agit pas d'une menace qui évolue constamment au point de prendre les devants sur les mesures de sécurité.
Depuis que Back Orifice sévit sur le marché, les méthodes de base de la surveillance via Internet n'ont pas beaucoup changé: il suffit que votre cible télécharge une pièce jointe à un e-mail ou clique sur un lien qui déclenche un téléchargement automatique. Quand c'est fait, allumez votre webcam, puis asseyez-vous confortablement et observez votre victime. «Concevoir un logiciel malveillant est devenu tout à fait banal». D'ailleurs, Back Orifice est toujours téléchargeable sur Internet et les débutants peuvent même obtenir des instructions sur le développement de logiciels espions en une simple recherche sur Google. Sinon, vous avez aussi la possibilité de suivre une formation universitaire dans ce domaine.
Ce qui est nouveau, c'est la généralisation des webcams. Aujourd'hui, tous les ordinateurs portables d'Apple sont équipés d'une caméra intégrée. Même le plus petit ordinateur portable de Sony est doté d'une caméra. Parfois, elles sont presque invisibles: la caméra intégrée du MacBook Air est «si intelligemment intégrée, qu'elle passe inaperçue», se vante Apple. Cela dit, sur la quasi-totalité des ordinateurs portables, un indicateur lumineux s'allume lorsque la caméra est en marche. Or les pirates ne peuvent pas désactiver cette fonction, car elle est électronique et non gérée par un programme.
Pour autant, l'espionnage par webcam demeure peu courant. La plupart des pirates informatiques s'intéressent à l'argent et se contrefichent de visionner un enregistrement de quelqu'un qui a la bouche ouverte. Ça ne rapporte pas beaucoup! «La plupart des choses qu'on pourrait enregistrer sur une caméra ont déjà été publiées sur Facebook», explique Kevin Haley, qui travaille chez Symantec Security Response, une entreprise informatique spécialisée dans la protection des informations.
Réaliser une indexation ou effectuer des recherches sur des centaines d'heures d'enregistrement vidéo et audio de conversations est bien plus compliqué que sur des informations sous forme écrite. (Certains logiciels contournent cette difficulté en activant la caméra uniquement s'ils détectent un mouvement.) Si c'est l'argent que recherchent les pirates, le contenu des ordinateurs a bien plus de valeur que ce qui se passe devant.
Si quelqu'un infiltre une webcam, il s'agit généralement d'un attentat ciblé. Le côté purement «flippant» est une motivation. En 2004, au Texas, une adolescente de 15 ans a raconté qu'un pirate a ouvert le lecteur de disque de son ordinateur, avant de lui dire des choses du type «j'aime ton chemisier».
Puis, il y a les gens qui espionnent celui ou celle sur qui ils souhaitent garder un œil, par exemple un mari qui veut surveiller sa femme. On pourrait penser que ce serait utile pour les détectives privés, même si ceux avec qui je me suis entretenu disent qu'aucun de leurs collègues n'a infiltré une webcam dans le cadre de son travail. «La technologie est là pour permettre ces choses-là», m'a dit Charles McLaughlin, un détective privé qui exerce dans le Massachusetts. «Mais dans le secteur privé, même si certains individus sont prêts à enfreindre la loi, la majorité des détectives privés respectables ne le font pas.» Une des possibilités pour épier en toute impunité est peut-être d'installer un logiciel espion sur son propre ordinateur - dans sa chambre à coucher, par exemple -, mais même en faisant cela, vous flirtez avec le risque de vous faire prendre.
Plus menaçant encore que la vidéo, il y a l'audio. En accédant au micro d'un ordinateur, vous le pouvez carrément le mettre sur écoute. C'est un acte d'autant plus insidieux que le micro est toujours activé et qu'il y a rarement un témoin lumineux pour vous indiquer qu'un enregistrement est en cours. «L'histoire du micro m'inquiète davantage», confie Chris Wysopal, directeur informatique chez Veracode. «Car si vous ne savez pas lire sur les lèvres, [une simple vidéo] n'est pas vraiment utile.»
Alors comment empêcher quelqu'un de vous observer? Eh bien, c'est à vous d'observer... l'hygiène classique qu'exige Internet. Ne cliquez pas sur les pièces jointes bizarres que vos proches nuls en informatique vous envoient. Mettez régulièrement à jour votre logiciel antivirus et ainsi de suite. Si vous souhaitez faire preuve d'une extrême prudence, la meilleure solution est la plus simple: posez un morceau de ruban adhésif sur votre webcam. C'est peut-être l'équivalent pour ordinateur portable du chapeau en papier alu, mais c'est le seul moyen de préserver complètement votre intimité. Pour le micro, c'est plus compliqué: ça ne sert à rien de mettre du scotch dessus. Vous pouvez toutefois le mettre hors fonction en branchant un convertisseur ou un autre fil dans la sortie micro de votre ordinateur. Son micro interne sera alors désactivé.
Mais au fond, il y a tant de chose qu'on peut faire. La vulnérabilité est intrinsèque à la vie sur le Web. A chaque fois que vous ouvrez un portail sur le monde extérieur, vous risquez de subir une intrusion. Ce qui est plus problématique, c'est quand vous ne savez pas que ce portail existe ou que vous en avez vaguement conscience. Une règle générale concernant les e-mails dit qu'il ne faut jamais y écrire ce qu'on ne souhaite pas faire partager à la terre entière. Sans doute faut-il aussi éviter de danser en petite culotte quand votre portable vous regarde.
Christopher Beam
Traduit par Micha Cziffra
