Babar a un père, et il s'appelle Evil Bunny. Babar est un virus informatique très sophistiqué. Découvert en 2011 par une agence de renseignement canadienne, son existence a été révélée au grand public l'année dernière par le Monde, sur la base d'un document fourni par Edward Snowden. Selon les renseignements canadiens, il pourrait être l'œuvre des services secrets français.

Deux rapports publiés aujourd’hui par la société allemande G Data et la chercheuse indépendante Marion Marschalek, dissèquent Babar, en dévoilent ses principales fonctionnalités et sa parenté avec un autre programme, nommé Evil Bunny. Jusqu’ici, seul le document de l’agence canadienne, le Centre de la sécurité des télécommunications du Canada (CSEC), mentionnait Babar, sans le décrire en détail. En janvier, l’entreprise G Data a découvert un échantillon de Babar dans sa base de données et l’a passé au crible.

«Comme tout éléphant, Babar a des grandes oreilles, et le virus est capable d'écouter les conversations», note G Data dans son rapport. C'est sans doute l'une des caractéristiques qui a le plus surpris l'un des chercheurs, Paul Rascagnères. A Libération, il précise : «Babar permet d'enregistrer les échanges audio sur Skype ou Messenger par exemple.» Mais pas seulement. Le virus enregistre aussi les frappes sur le clavier et peut faire des captures d'écran, entre autres.

«Babar est un outil d'espionnage complet, conçu pour espionner l'activité d'un utilisateur sur une machine infectée», écrit de son côté Marion Marschalek. Ce qui fait dire aux auteurs qu'il s'agit d'une arme de précision conçue pour «une campagne d'espionnage ciblé». «Le nombre de machines infectées est plutôt restreint et choisi.» Ses traces avaient été repérées dans plusieurs pays : Algérie, Côte-d'Ivoire, Norvège, Grèce, Espagne et Canada. Le virus aurait principalement servi contre le programme nucléaire iranien, selon l'enquête du Monde parue l'année dernière.

Le quotidien avançait que, parmi les administrations françaises capables de développer de tels outils de cyberespionnage, «les hypothèses [étaient] limitées». La DGSE, les services extérieurs, apparaît comme la plus crédible, que ce soit «la direction technique située boulevard Mortier à Paris [ou] ses jeunes informaticiens et hackers travaillant au fort de Noisy, à Romainville [Seine-Saint-Denis, ndlr]», ajoutait le journal.

Les chercheurs indiquent aujourd'hui que Babar n'est pas la seule œuvre de ses créateurs, mais que «les mêmes développeurs» ont fabriqué Evil Bunny, un programme malveillant moins perfectionné, sans doute antérieur, identifié par Marion Marschalek en novembre. «Evil Bunny est un outil de prise en main à distance», détaille Paul Rascagnères.

Les auteurs s'arrêtent à ce lien de parenté. Si Evil Bunny et Babar sont issus d'un seul et même groupe ou Etat, ni G Data ni Marion Marschalek ne le nomment. «Techniquement, nous n'avons pas de preuve permettant de l'attribuer», justifie Paul Rascagnères. Soit presque mot pour mot la même phrase que l'éditeur d'antivirus Kaspersky, lui aussi à l'origine de nouvelles découvertes sur d'autres programmes d'espionnage, qui refusait mardi d'indiquer l'identité des commanditaires, malgré les soupçons plus que forts sur la NSA.

Pour Paul Rascagnères, le problème de l'attribution semble insoluble : «A moins d'une fuite très forte comprenant des informations techniques, on ne pourra pas l'attribuer.» Babar n'est plus orphelin, il reste à trouver les pères naturels d'Evil Bunny.