Flame, un nouveau malware découvert par Kaspersky est opérationnel depuis au moins deux ans. Très sophistiqué, il est capable d’espionner un individu, une entreprise ou d’autres entités en dérobant plusieurs sortes de données informatiques.

au sommaire


    Principaux vecteurs d’infection et de propagation utilisés par Flame. Il peut s'agir d'une infection par clé USB (infected USB stick), PC en LAN (infected PC in LAN) venue d'un site Web ou de phishing (spear phising, website). © Kasperky Labs

    Principaux vecteurs d’infection et de propagation utilisés par Flame. Il peut s'agir d'une infection par clé USB (infected USB stick), PC en LAN (infected PC in LAN) venue d'un site Web ou de phishing (spear phising, website). © Kasperky Labs

    Après les virus Stuxnet et Duqu, voici qu'une nouvelle arme de cyberguerre vient d'être découverte. Il s'agit du virus Flame, identifié par l'éditeur de logiciels de sécurité Kaspersky suite à une enquête lancée par l'Union internationale des télécommunicationsUnion internationale des télécommunications (UIT). Il a également été repéré sous les noms de SkyWiper par le Crysys (Laboratory of Cryptography and System Security) de l'université de Budapest et de Flamer par le Maher, le Computer Emergency Response Team iranien.

    « La complexité et les fonctionnalités de cette nouvelle cybermenace dépassent celles de toutes les autres connues à ce jour », résume Kasperky. Flame est en effet capable de surveiller l'activité d'un réseau informatique, d'enregistrer des conversations en activant le microphone d'un ordinateur, d'effectuer des captures d’écran, de voler des fichiers, des listes de contacts et même de détecter l'ouverture de logiciels de courrier électronique ou de messagerie instantanée. « Flame embarque un grand nombre de librairies tierces [bibliothèques de fonctions écrites par d'autres, NDLRNDLR] pour fonctionner plus efficacement », a expliqué à Futura-Sciences William Pomian, responsable de la cellule veille et réponse incidents du groupe Lexsi qui compte parmi ses clients 75 % des entreprises du CAC 40. Il a également souligné le fait que ce virus est doté d'une fonction de désinstallation. « L'idée est de rester discret pour attaquer de façon très ciblée. »

    Flame peut même accéder au module Bluetooth lorsqu'il est activé et collecter des informations sur les terminaux à proximité qui sont détectés par la machine infectée. « C'est un cheval de Troiecheval de Troie qui a les fonctionnalités d'un ver, qui lui permettent de se répliquer dans un réseau localréseau local et sur des supports amovibles s'il en reçoit l'ordre de son maître. » Toutes les informations dérobées sont ensuite transmises aux centres de commande du virus via des serveursserveurs disséminésdisséminés un peu partout sur la planète. « En raison de son extrême complexité, ainsi que du caractère ciblé de ses attaques, aucun logiciel de sécurité ne l'avait détecté jusque-là. », ajoute Kaspersky.

    Flame : actif depuis 2010, voire plus…

    La première trace de Flame remonte à août 2010, mais Kaspersky estime qu'il pourrait être opérationnel depuis plus longtemps. Le virus est donc un redoutable espion qui sévit déjà dans plusieurs pays du Moyen-Orient (Arabie saoudite, Égypte, Iran, Israël, Liban, Soudan et la Syrie), dans la région de la Cisjordanie mais également en Russie, en Autriche, à Hong Kong et aux Émirats arabes unis selon les informations de l'éditeur Symantec. L'ampleur exacte de l'attaque semble encore assez floue. Mais Kaspersky parle de plusieurs milliers de victimes à travers le monde, qu'il s'agisse de particuliers, d'entreprises ou d'institutions. « Nombre d'entre elles semblent être ciblées pour leurs activités personnelles plutôt que pour celles de la société qui les emploie. Il est également intéressant de noter que, au-delà de sociétés spécifiques ciblées, de nombreux systèmes attaqués sont des ordinateurs utilisés à domicile et connectés à InternetInternet », souligne Symantec dans un communiqué de presse.

    Kaspersky décrit ce virus comme très complexe à analyser car il est beaucoup plus élaboré que Stuxnet et Duqu. Le code de Flame pèse 20 Mo, vingt fois plus que Stuxnet, et les chercheurs pensent qu'il leur faudra peut-être des années pour l'analyser. McAfee estime qu'il pourrait contenir au moins 750.000 lignes de code en langage C, soit la taille d'un bon logiciel.

    Kaspersky a publié une carte du monde montrant les principaux pays touchés par l’attaque du virus Flame. © <em>Kaspersky Labs</em>

    Kaspersky a publié une carte du monde montrant les principaux pays touchés par l’attaque du virus Flame. © Kaspersky Labs

    D'après les premières constatations, Flame exploite les mêmes failles de sécurité de Windows que Stuxnet. Kaspersky soupçonne notamment l'exploitation des vulnérabilités dans la décompression de fichiers multimédias que Microsoft a pourtant corrigées en juin 2010. Flame a la capacité d'infecter des ordinateurs par des clés USB et de se répliquer via des imprimantes partagées en réseau local en exploitant la vulnérabilité MS10-061 elle aussi corrigée par MicrosoftMicrosoft. Kaspersky estime cependant que Flame a été développé par un groupe distinct de celui à l'origine de Stuxnet et Duqu.

    Un État commanditaire ?

    La question qui est sur toutes les lèvres est qui se cache derrière Flame ? « La géographie des cibles (certains États du Moyen-Orient) ainsi que la complexité de la menace ne laisse aucune doute sur le fait qu'un État en ait sponsorisé la recherche », assure l'éditeur russe. Une analyse que semble partager Symantec pour qui « comme pour Stuxnet et Duqu, le code de cette nouvelle menace n'a pas été écrit par un individu isolé mais par un groupe de spécialistes organisé, financé et dirigé. » Pour William Pomian, la piste d'un État commanditaire est « complètement réaliste. Il faut savoir qu'actuellement certains gouvernements achètent des failles "0-day0-day" ou financent leur création afin d'attaquer des cibles ».

    Certains observateurs évoquent la piste des États-Unis ou d'Israël qui avaient été cités comme les possibles instigateurs des virus Stuxnet et Duqu. Eugene Kaspersky, le cofondateur et P-DG de Kaspersky Lab parle lui d'une « nouvelle phase » dans la cyberguerre. « Stuxnet et Duqu faisaient partie d'une même série d'attaques, qui a fait naître les craintes d'un cyberconflit mondial. Le malwaremalware Flame paraît correspondre à une autre phase de cette guerre et il faut avoir conscience que de telles cyberarmes peuvent être facilement dirigées contre n'importe quel pays. À la différence des dispositifs d'armements conventionnels, ce sont les nations les plus développées qui sont en fait les plus vulnérables. » 

    Si un virus comme Flame a pu passer inaperçu durant deux ans, voire plus, peut-on craindre que d'autres menaces de ce type soient déjà actives ? « Si d'autres pays ont développé un équivalent de Flame, tout porteporte à croire qu'ils se feront très discrets », estime William Pomian. La plupart des éditeurs de solutions de sécurité ont en tout cas réagi sans tarder en ajoutant presque immédiatement la signature du virus Flame à leurs logiciels. Une céléritécélérité certes bienvenue, mais qui laisse planer un doute sur le fait que personne n'ait réellement « rien su et rien vu » nous a suggéré un autre spécialiste en sécurité informatique qui a préféré rester anonyme. « On pourrait imaginer qu'un État ayant commandité la création d'un virus comme Flame dans le cadre d'une cyberguerre ait demandé aux éditeurs d'antivirusantivirus de fermer les yeuxyeux ». Alors, théorie du complot ou réalité d'une guerre où tous les coups sont permis ?