Aller au contenu

DarkComet

Un article de Wikipédia, l'encyclopédie libre.
DarkComet

Description de l'image Darkcomet.jpg.
Informations
Créateur Jean-Pierre Lesueur
Première version
Dernière version 5.3.1 ()
État du projet abandonné
Écrit en Delphi / Assembleur x86-32
Système d'exploitation Microsoft WindowsVoir et modifier les données sur Wikidata
Environnement Windows
Type Outil d'administration à distance, Cheval de Troie (informatique)
Politique de distribution gratuit
Licence GratuicielVoir et modifier les données sur Wikidata
Site web http://www.darkcomet-rat.com/ [1]

DarkComet était un outil d'administration à distance (Un type de logiciel connu sous son abréviation anglaise RAT) développé par Jean-Pierre Lesueur, un programmeur français indépendant. Bien que ce logiciel ait été développé en 2008, il a commencé à proliférer au début de l'année 2012. Le logiciel fut annulé, partiellement à cause de son utilisation pendant la guerre civile syrienne pour surveiller des activistes, mais aussi car son créateur avait peur qu'il soit arrêté, même s'il n'a pas spécifié la raison[1].

DarkComet permet aux utilisateurs de contrôler l'ordinateur sur lequel il est installé en utilisant une interface graphique. Il possède beaucoup de fonctions qui permettent aux utilisateurs de l'utiliser comme un outil légitime pour administrer à distance leurs propres ordinateurs. Cependant, certaines peuvent être utilisés avec malveillance. DarkComet est quelquefois utilisé pour surveiller des victimes en enregistrant des frappes ou pour voler leurs mots de passe.

Histoires autour de DarkComet

[modifier | modifier le code]

En 2014, DarkComet fut relié à la guerre civile syrienne. Des activistes en Syrie utilisaient des connexions chiffrées pour contourner la surveillance et la censure de l'internet. Donc, le gouvernement syrien commença à utiliser des logiciels espions pour surveiller ses citoyens, ce qui, selon de la spéculation, aurait causé l'arrestation de beaucoup d'activistes en Syrie[1].

Le « RAT » fut distribué avec un « message de tchat sur Skype » avec une icône de Facebook qui était, en réalité, un fichier exécutable qui avait été conçu pour installer DarkComet[2]. Une fois infecté, l'ordinateur de la victime essayerait d'envoyer le message aux autres.

Une fois que DarkComet fut relié au régime de Bachar el-Assad, Lesueur a arrêté le développement de l'outil[1].

Des joueurs de jeu vidéo, des armées, et des gouvernements visés

[modifier | modifier le code]

En 2012, la société Arbor Network a trouvé une indication que des hackers provenant d'Afrique utilisaient DarkComet pour viser des cibles militaires et des joueurs de jeu vidéo. À l'époque, ils visaient principalement les États-Unis[3].

En 2014, Jared James Abrahams, un étudiant californien en informatique, a été condamné à 18 mois de prison à la suite de son arrestation par le FBI pour avoir piraté les ordinateurs de plusieurs femmes, dont Miss Teen USA 2013, Cassidy Wolf, dans le cadre d'une campagne de "sextorsion". Utilisant DarkComet, il a obtenu des photos intimes de ses victimes et les a menacées de diffuser ces images si elles ne se soumettaient pas à ses demandes. Abrahams a plaidé coupable de piratage informatique et d'extorsion. Cette affaire a souligné l'importance de la sécurité numérique, y compris la pratique recommandée de couvrir les webcams lorsqu'elles ne sont pas en usage[4].

Kevin Mitnick

[modifier | modifier le code]

Comme rapporté par un article de Wired[5], le célèbre hacker Kevin Mitnick a régulièrement utilisé DarkComet, notamment pour des démonstrations au cours de ses conférences. En 2015, il a effectué une démonstration publique de ce logiciel lors du CeBIT 2015[6].

Je Suis Charlie

[modifier | modifier le code]

À la suite de l'attentat contre Charlie Hebdo à Paris, des hackers utilisaient le slogan «#JeSuisCharlie» pour tromper des gens et les amener à télécharger DarkComet. DarkComet était inséré dans l'image d'un enfant dont le bracelet était marqué des mots « Je suis Charlie. » Une fois l'image téléchargée, l'ordinateur devient infecté[7].

Arrestation d'un Ukrainien

[modifier | modifier le code]

En 2018, la police ukrainienne a arrêté un homme de 42 ans, suspecté d'avoir utilisé DarkComet pour infecter plus de 2 000 utilisateurs dans au moins 50 pays. Il est également accusé d'avoir volé une quantité importante de fichiers à ses victimes, ainsi que d'avoir obtenu des images par la capture d'écran et l'activation à distance de webcams. Les détails sur la manière dont la police a réussi à traquer cet individu n'ont pas été divulgués. Toutefois, il est supposé que l'utilisation de Shodan, un moteur de recherche pour les appareils connectés à Internet, a joué un rôle clé dans l'enquête[8].

Vault 7/8 (Umbrage)

[modifier | modifier le code]

WikiLeaks a révélé des documents de la CIA montrant que l'agence a étudié et utilisé des techniques de piratage avancées. L'équipe Umbrage de la CIA a collecté des techniques d'attaque provenant de logiciels malveillants développés par d'autres états, permettant à l'agence de diversifier ses méthodes d'attaque et de compliquer l'attribution des cyberattaques. DarkComet figure parmi les outils mentionnés dans les archives divulguées[9].

L'APT36 liée au Pakistan, a exploité la pandémie de coronavirus pour diffuser des logiciels malveillants en se servant d'un faux conseil de santé comme leurre afin de voler des informations sensibles, principalement ciblant l'Inde dans le but de soutenir les intérêts militaires et diplomatiques du Pakistan. APT36 a utilisé divers outils d'administration à distance dans le passé, y compris DarkComet, pour compromettre les bases de données militaires et gouvernementales indiennes et voler des données personnelles et sensibles[10].

ModifiedElephant

[modifier | modifier le code]

En 2021, un activiste indien emprisonné a été ciblé par un groupe de piratage lié à l'État, selon un rapport de SentinelOne. Ce groupe, connu pour implanter des preuves incriminantes sur les appareils des cibles, a utilisé des campagnes de phishing et des logiciels malveillants comme NetWire et DarkComet pour obtenir un accès à distance et un contrôle des machines des victimes. Les activités de ce groupe sont soupçonnées d'être coordonnées avec les intérêts de sécurité nationale de l'Inde[11].

Autres faits

[modifier | modifier le code]
  • DarkComet est connu pour être l'un des outils de piratage utilisés par l'APT nord-coréenne Groupe Lazarus (APT38)[12]

Fonctionnalités Principales

[modifier | modifier le code]

La liste suivante des fonctionnalités n'est pas exhaustive mais regroupe les aspects critiques qui rendent DarkComet un outil dangereux. Nombre de ces fonctionnalités peuvent être utilisées pour prendre entièrement le contrôle d'un système et permettent au client d'avoir un accès complet:

  • Fonctions d'espionnage
    • Capture de webcam
    • Capture de son
    • Bureau à distance
    • Keylogger
    • Mots de passes sauvegardés
    • Capture du micro
  • Fonctions réseau
    • Ports actifs
    • Partages réseau
    • Serveur Socks5
    • Ordinateurs LAN
    • Scanneur d'IP
    • Téléchargement de fichier
    • Navigation sur une page
    • Redirection IP/Port
    • Points d'accès WiFi
  • Gestion de l'alimentation de l'ordinateur
    • Extinction
    • Arrêt
    • Redémarrage
    • Déconnexion
  • Actions du serveur
    • Verrouiller l'ordinateur
    • Redémarrer le serveur
    • Fermer le serveur
    • Désinstaller le serveur
    • Upload et exécution
  • Gestion système
    • Gestionnaire de services
    • Gestionnaire des processus
    • Gestionnaire du démarrage
    • Gestionnaire de fichiers
    • Recherche de fichier
    • Gestionnaire de fenêtre
    • Gestionnaire de privilèges
  • Amusement
    • Piano
    • Boîte de message
    • Lecteur Microsoft Speech
    • Chat à distance

Références

[modifier | modifier le code]

Liens externes

[modifier | modifier le code]