Encore des précisions à propos du keylogger retrouvé en Italie

Des oreilles et des yeux / dimanche 27 janvier 2019

En octobre 2018, un article a été publié sur plusieurs sites web à propos d’un logiciel de surveillance de type keylogger retrouvé en Italie sur un ordinateur, et installé par les flics.

Bien que cet exemple de surveillance se situe plutôt en dehors de notre sujet (on souhaite plutôt se limiter à l’étude des dispositifs de surveillance physiques, comme indiqué dans notre appel à contributions), on a trouvé intéressant d’en parler quand même.

Nous avons reçu par mail des précisions concernant ce logiciel de surveillance, qui expliquent certaines choses restées inexpliquées dans l’article d’octobre 2018. Nous avons résumé ci-dessous les nouvelles informations. Ces informations sont à prendre avec précaution, étant donné que le logiciel de surveillance n’a pas pu être analysé correctement (le disque dur de l’ordinateur infecté par le logiciel de surveillance ayant été effacé après la découverte du logiciel).

  • Le système d’exploitation de l’ordinateur infecté par le logiciel de surveillance était Windows.
  • Le logiciel a été installé à distance par Internet. Il est resté sur l’ordinateur pendant quatre ans. Lorsque l’ordinateur était ré-installé/formatté, le logiciel de surveillance était de nouveau installé à distance par Internet.
  • Apparemment, le logiciel avait besoin d’une connexion à Internet constante pour espionner et pour envoyer les informations collectées. Il n’était pas capable de sauvegarder des données localement pour les envoyer plus tard.
  • Le logiciel était capable d’enregistrer le texte tapé sur le clavier, de prendre régulièrement des captures d’écran, et, selon les mesures de protection présentes sur l’ordinateur, d’enregistrer les communications entrantes et sortantes (pages web visitées, etc).
  • L’existence du logiciel a été découverte grâce à des fichiers d’enquête.

Le logiciel a été fourni aux carabineri (flics italiens) par l’entreprise italienne Neotronic. Ci-dessous, un extrait de la présentation du logiciel par Neotronic, traduit en français :

Il est à noter que le système NID (Neotronic Internet Decoder) est capable d’obtenir “en clair” toutes les communications envoyées/reçues par l’utilisateur ciblé, tant qu’elles ne sont pas protégées par des techniques de chiffrement inattaquables. Si, pendant la durée de l’écoute, des communications chiffrées sont détectées (par exemple des communications Black Berry chiffrées, Skype, de la “voix sur IP” chiffrée, pages web en HTTPS, etc.), il est possible d’interpréter le contenu de ces communications, après évaluation des mesures de sécurité prises par l’utilisateur (pare-feu, antivirus, anti-malware) et des applications utilisées, grâce à notre agent informatique Enhanced Law Enforcement Neotronic Agent (ELENA), qui peut également fournir des captures d’écran régulières du bureau de l’ordinateur ciblé, et le texte tapé sur le clavier connecté à l’ordinateur utilisé par l’utilisateur ciblé (y compris mails chiffrés).

This entry was posted in International, Les outils de l'ennemi and tagged , , , . Bookmark the permalink.