Pourquoi un service de renseignement s’embêterait-il à compromettre des ordinateurs au sein d’un gouvernement étranger lorsqu’il suffit de les louer aux cyber-criminels qui les ont déjà infectés depuis longtemps via un botnet ? Selon notre confrère Dark Reading, c’est précisément ce qui se passe.

L’information vient de la société FireEye. Ses équipes auraient identifié plusieurs cas dans lesquels des cyber-criminels auraient vendu l’accès à des machines appartenant à des gouvernements étrangers à des clients potentiellement liés à des agences de renseignement. « Potentiellement« , « aurait » : il ne s’agit bien entendu que de suspicions, mais la question ne manque pas d’intérêt en soi. A l’heure où les forces armées n’excluent plus de se fournir en matériel « off the shelf » (directement issu du monde commercial civil), pourquoi la tendance ne toucherait-elle pas également le monde du renseignement ?

Ce serait bien sûr bien mal connaître la nature du renseignement que de l’imaginer se nourrir majoritairement de postes de travail loués au petit bonheur à des criminels. Une telle pratique ne s’envisage donc qu’à la marge. Mais la justification de FireEye est cependant intéressante : de tels postes de travail ne sont pas de grand intérêt à des cyber-escrocs, qui préfèrent de loin exploiter les ordinateurs familiaux. Les seuls à se porter spécifiquement acquéreurs de ces victimes ne peuvent alors qu’être des services étrangers.

La méthode manque évidemment de précision, mais elle est idéale contre des cibles d’opportunité, alors pourquoi se priver ?

Tout le monde ne semble toutefois pas convaincu. Dark Reading cite ainsi un porte-parole de l’éditeur McAfee, selon qui d’éventuels services de renseignement n’auraient finalement qu’à s’emparer des serveurs de Command & Control d’un botnet existant afin d’accéder à toutes ses victimes, dont celles au sein de gouvernements étranger.  Et ainsi, paradoxalement, de passer inaperçu. Chez Trend Micro, on va même plus loin : l’éditeur affirme n’avoir pas observé de rapprochement significatif entre les codes malveillants utilisés dans le cadre d’opération d’espionnage et ceux mis en oeuvre au sein des principaux botnets, ce qui selon lui indique que les services de renseignement opteraient plutôt pour des outils propriétaires, ou du moins un peu plus exclusifs (peut-être dérivés de ceux que nous vous dévoilions l’année dernière lors de Milipol Qatar).

Et vous, que pensez-vous de cette hypothèse ? Buzz marketing de la part de FireEye (qui se positionne justement dans la lutte contre les APT) ou tendance finalement fort logique ?