Longhorn : ces cyberespions qui ressemblent à des agents de la CIA

Au début, ils croyaient être tombés sur des pirates informatiques spécialisés dans le cyberespionnage, comme il en existe des dizaines dans le monde. Mais les experts de la société de sécurité informatique Symantec sont peut-être tombé sur un gros, très gros poisson : une unité de la CIA.

C’est la publication début mars par Wikileaks de Vault 7 qui a mis la puce à l’oreille des experts de Symantec, explique un billet de blog paru lundi 10 avril. Ces documents, attribués par Wikileaks à la CIA, détaillent des outils de piratage et de cyberespionnage conçus par et pour les agents américains. Or, deux logiciels malveillants qui y sont décrits ont été utilisés par le groupe de cyberespions Longhorn, comme l'a appelé Symantec. “C’est la première fois qu’une trace de ces outils a pu être trouvé dans le monde réel”, souligne Dick O’Brien, un expert de la société de cybersécurité américaine, contacté par France 24.

Ce spécialiste écarte l’hypothèse de deux groupes qui auraient en même temps utilisés des outils similaires. Les virus utilisés par Longhorn et ceux décrits dans Vault 7 partagent une fonction identique et ont les mêmes caractéristiques techniques. De plus, lorsqu’il est fait état dans les documents publiés par Wikileaks d’une date de mise à jour de l’un des deux logiciels, les experts de Symantec ont constaté que celui utilisé par Longhorn était amélioré au même moment.

CIA or not CIA, telle est la question

D’où la conclusion tirée par de nombreux médias, dont Mashable, que Longhorn n’est rien d’autre qu’une unité de la CIA qui s’est fait prendre la main dans le sac à virus par Symantec. Dick O’Brien prend davantage de précautions : “Nous savons que beaucoup de monde, y compris Donald Trump, affirment que Vault 7 vient bien de la CIA, mais comme nous n’avons pas pu le confirmer, nous préférons dire que les outils utilisés par Longhorn et ceux décrits dans Vault 7 sont l’œuvre du même groupe”.

Symantec suit, en effet, les activités de Longhorn depuis 2014 et pense qu’ils sont actifs depuis au moins 2011. Ils sont impliqués dans au moins 40 opérations d’espionnage visant seize pays différents. “Une majorité des cibles se trouvent au Moyen-Orient”, a précisé Dick O’Brien au New York Times. Comme la CIA, qui opère en dehors du territoire américain, la quasi-totalité des victimes de Longhorn se trouvent à l'étranger. Une seule était aux États-Unis, mais “c’était visiblement une erreur, car leur opération a été interrompue immédiatement et ils ont effacé leur trace aussitôt”, raconte Dick O’Brien.

Les espions de Longhorn ne constituent d'ailleurs pas l'élite du secteur, d’après cet expert. “Ils sont agiles, savent bien camoufler leur traces, sont méthodiques et disciplinés, mais ils sont dans la moyenne de ce qu’on peut attendre de professionnels occidentaux du cyberespionnage”, explique-t-il.

Ils se sont attaqués à des cibles “classiques” de l’espionnage : organismes gouvernementaux, entreprises du secteur minier, de l’aérospatiale et de l’énergie. Malgré les reticences de Symantec a nommer clairement la CIA, le cas Longhorn constitue peut-être la première étude sur plusieurs années des agissements de cyberespions de l’agence américaine.