Butterfly, les mercenaires du cyberespionnage qui ont piraté Google, Facebook et Apple

C'est arrivé en février 2013. Coup sur coup, Twitter, Facebook, Apple et Microsoft se font pirater de façon mystérieuse, sophistiquée et chirurgicale. Mais ces géants du Net n'étaient pas les seules victimes: durant les trois dernières années, une quarantaine d’autres grandes entreprises ont succombé aux attaques de Butterfly, un groupe de pirates qui s’est spécialisé dans l’espionnage économique et qui est probablement à la solde d'investisseurs ou de concurrents des victimes. C’est la conclusion à laquelle est parvenu Gavin O’Gorman. Cet analyste de Symantec a présenté hier, 2 décembre, le mode opératoire de ce groupe à l’occasion de la conférence de sécurité Botconf 2015, à Paris.

Que viennent chercher les pirates de Butterfly? Des informations confidentielles et des secrets de fabrication. La piste du vol de données a été particulièrement flagrante pour une compagnie aérienne nord-américaine et une société pharmaceutique. Dans les deux cas, le piratage a été exécuté peu de temps après la parution d’un article de presse qui annonçait un changement important pouvant influer sur le cours de bourse. Leur business est simple, selon le chercheur: "pénétrer le réseau, voler des informations et les revendre à des brokers. Pour ces derniers, c’est une façon très efficace de faire de l’argent, car l’opération est très difficile à pister".

Des failles zero-day achetées sur le marché noir

En tous cas, les affaires marchent visiblement très bien pour ces pirates, car ils pénètrent les réseaux de leurs victimes par le biais de vulnérabilités informatiques dites "zero-day" -autrement dit inconnues auparavant- qu’ils achètent très probablement à la demande sur le marché noir. 

Compte tenu de la rapidité d’exécution de leurs campagnes, Butterfly n'a en effet pas les moyens d'attendre qu'un hacker de leur équipe découvre une telle vulnérabilité. Or, les zero-day coûtent cher, "au moins 100.000 dollars, voire même plusieurs centaines de milliers de dollars", souligne Gavin O’Gorman.

Le niveau technique des pirates n’est "pas démentiel", mais suffisamment élevé pour susciter l’étonnement chez l’analyste de Symantec. Sur les serveurs utilisés pour contrôler les malwares installés chez les victimes, il a notamment remarqué un mécanisme ingénieux permettant de ne laisser aucune trace par la suite. "C’est la première fois que je vois un tel niveau de sécurité opérationnelle sur ce genre d’infrastructure", ajoute Gavin O’Gorman.

En revanche, d’autres lacunes techniques -la détection de certains de leurs malwares par des antivirus, par exemple- lui font dire que Butterfly n’est pas l'émanation d’une agence de renseignement gouvernementale, dont les techniques d'intrusion sont encore plus sophistiquées et discrètes.

Plusieurs indices relatifs à la langue et aux horaires d’activité semblent indiquer, par ailleurs, qu’il s’agit d’un petit groupe dispersé aux quatre coins du monde, avec une base aux Etats-Unis. Devenu un sujet d'analyse, ces pirates ont actuellement disparu du radar des chercheurs en sécurité. Mais une chose est certaine, Butterfly frappera à nouveau.