Flame, également connu sous les noms Worm.Win32.Flame, Flamer et sKyWIper, est un logiciel malveillant découvert en mai 2012. C'est un ver informatique infectant les systèmes d'exploitation Windows qui aurait, selon Kaspersky Lab, infecté 1 000 ordinateurs. Il semble qu'il ait été créé par les États-Unis et/ou Israël pour servir à des fins de cyber-espionnage.
Caractéristiques techniques
Flame est volumineux pour un logiciel malveillant (plus de 20 Mo une fois installé). Il inclut plusieurs bibliothèques de compression de données : zlib, libbz et PPMd, mais aussi un serveur SQLite et une machine virtuelle en langage de script Lua.
Ce logiciel permet d'intercepter des e-mails, des données PDF, Office, des graphiques, et d'enregistrer des conversations en ligne. Il pourrait avoir aussi des applications cybernétiques offensives grâce à une « ogive » Le 11 juin 2012 la société de sécurité informatique russe Kaspersky Lab indique que ce virus serait antérieur et présenterait d'ailleurs des liens avec le virus Stuxnet, qui fait partie du programme américain Olympic Games.
Enjeu géostratégique
Eugène Kaspersky, fondateur de la société russe productrice de logiciels anti-virus Kaspersky, qui a révélé l'existence du virus sur 600 ordinateurs infectés au Proche-Orient le 28 mai 2012 a annoncé le 6 juin 2012 à Tel Aviv que Flame pourrait marquer le début d'une « cyber-épidémie mondiale ». « Ce n'est que le début du jeu (...). Cela pourrait devenir la fin du monde tel que nous le connaissons, parce que la planète compte beaucoup de réseaux informatiques et nous en sommes fortement dépendants, les cyber-armes peuvent se reproduire et attaquer leurs cibles partout dans le monde, même loin des zones de conflit. Malheureusement, l'humanité ne sait pas encore se protéger contre de telles attaques, et il faudra probablement renoncer à l'utilisation des systèmes d'exploitation populaires comme Windows ou Linux sur les sites sensibles ».
Le coût d'une telle arme informatique serait évalué à 100 millions de dollars selon Kapersky.
Marco Obiso, coordinateur de la cyber-sécurité de l'ONU à l'Union internationale des télécommunications (ITU) basée à Genève a déclaré qu'il s'agissait « de l'alerte la plus sérieuse à laquelle nous ayons eu à faire face ». Il considère Flame comme « un outil d'espionnage dangereux qui pourrait être utilisé pour attaquer des infrastructures essentielles ».
Orla Cox, une analyste de sécurité informatique de Symantec, a estimé que « ce virus ciblait des individus spécifiques vraisemblablement liés à l'Iran. La façon dont il a été mis au point ne ressemble à rien que nous avons vu auparavant. C'est énorme. C'est comme utiliser une arme atomique pour casser une noix. »
Les données publiés par Kaspersky Lab indiquent que les infections disséminées par ce programme ont été réparties à travers le Moyen-Orient avec 189 « attaques » en Iran, 98 « incidents » en Cisjordanie, une trentaine au Soudan et en Syrie. Flame a aussi été détecté au Liban, en Arabie saoudite et en Égypte6.
Selon de hauts responsables des services secrets occidentaux cités anonymement par le Washington Post en juin 2012, le virus aurait été développé conjointement par les États-Unis et Israël pour recueillir des données en préparation d'une autre attaque informatique visant à ralentir la capacité de l'Iran à développer une arme nucléaire.
miniFlame
À la mi-octobre 2012, le laboratoire de la société Kaspersky dit avoir découvert un virus de la famille de Flame que l'éditeur baptise miniFlame. Le virus est construit pour fonctionner en extension de Flame ou de Gauss, mais peut également fonctionner indépendamment. Il semble que le virus se soit déployé sur un faible nombre de machines, celles-ci ayant été infectées par Flame auparavant. Tout comme Flame, miniFlame est un outil de cyber-espionnage destiné à voler des données. Kaspersky estime que le développement a pu prendre 5 ans et passer par plusieurs versions. Les chercheurs de Kaspersky insistent sur la relation entre tous ces virus : « miniFlame vient prouver à nouveau qu'il existe une collaboration entre les créateurs de Stuxnet, Duqu, Flame et Gauss ».
Source : http://fr.wikipedia.org/
Au début du mois de mai, l'Union internationale des télécommunications (UIT), agence des Nations unies basée à Genève, reçoit un appel à l'aide de plusieurs Etats du Moyen-Orient, car diverses installations pétrolières de la région sont victimes d'une attaque dévastatrice : des masses de données stockées sur leurs ordinateurs disparaissent soudainement. Fin avril, pour tenter de réparer les dégâts, l'Iran avait dû couper temporairement les réseaux informatiques de son industrie pétrolière. Le coupable semble être un nouveau virus, opportunément baptisé "Wiper" ("effaceur").
Aussitôt, les experts du monde entier croient deviner que l'affaire est un nouvel épisode de la mystérieuse cyberguerre menée contre l'Iran par des pirates inconnus. Déjà, en 2010, un virus de conception inédite, baptisé "Stuxnet", s'était introduit dans les ordinateurs contrôlant les centrifugeuses de l'usine d'enrichissement d'uranium iranienne de Natanz, et avait réussi à les saboter. Le virus provoqua même des explosions, une première mondiale dans l'histoire du piratage informatique. Puis, à l'automne 2011, les Iraniens avaient trouvé dans leurs réseaux informatiques un virus espion, baptisé "Duqu", conçu pour voler des informations sensibles. Ces agressions n'étaient pas revendiquées, mais, selon les experts, seul un Etat pouvait mobiliser les moyens humains et financiers nécessaires pour créer des programmes aussi complexes et innovants. Les soupçons s'étaient portés sur les Etats-Unis, Israël ou les deux.
Cette fois, pour neutraliser Wiper, l'UIT fait appel aux services de la société de sécurité russe Kaspersky. Très vite, les Russes repèrent sur les ordinateurs infectés un nom de fichier déjà détecté dans Duqu. Intrigués par la similitude, ils s'aperçoivent que, cette fois, le fichier suspect a été intégré dans un virus encore non identifié. Ils le baptisent "Flame", car ce mot mystérieux revient fréquemment dans son code informatique.
UNE GROSSE "BOÎTE À OUTILS"
Parallèlement, d'autres équipes traquent le virus effaceur. Début mai, le laboratoire hongrois CrySys, de l'université de technologie de Budapest, est contacté par des commanditaires souhaitant rester anonymes, qui lui proposent d'enquêter sur Wiper. CrySys est très réputé, car c'est lui qui a détecté Duqu en 2011.
Très vite, les Hongrois découvrent le même virus que les Russes, mais s'aperçoivent qu'il s'agit d'un monstre d'une puissance inédite. Face à l'ampleur de la tâche, ils transmettent le dossier à la société de sécurité américaine Symantec, qui se met sur l'affaire avec de gros moyens logistiques.
Le 28 mai, les Russes, les Hongrois, les Américains, et même les Iraniens, qui ont participé à la traque, publient des communiqués annonçant la découverte du mégavirus, que tout monde décide d'appeler Flame. Wiper, cible originelle de l'enquête, est complètement délaissé – d'autant qu'il semble désormais inactif.
Une fois Flame identifié, les experts de plusieurs pays mettent au point en urgence des programmes pour le bloquer. Ils se lancent aussi dans une œuvre de longue haleine – l'analyse du code qui le compose. Ils vont de surprise en surprise. Dans sa version complète, le code de Flame pèse 20 mégaoctets – vingt fois plus que Stuxnet.
Il s'agit d'un système d'espionnage, qui travaille en secret, sans perturber le fonctionnement de l'ordinateur. Les chercheurs le comparent à une grosse "boîte à outils", contenant une large panoplie de logiciels ayant chacun leur spécialité. Il est capable d'identifier et de recopier n'importe quel type de fichier, de mémoriser chaque frappe sur le clavier, de faire des captures d'écran, ou encore d'activer le micro de l'ordinateur pour enregistrer les bruits et les conversations alentour. Il peut même déclencher l'émetteur-récepteur sans fil Bluetooth pour communiquer avec des ordinateurs portables ou des smartphones situés à proximité.
SA MISSION REMPLIE, IL S'AUTODÉTRUIT
Comme la plupart des logiciels espions, il est piloté à distance par plusieurs "centres de commande et de contrôle", installés sur des serveurs situés n'importe où dans le monde. Flame vise les machines équipées du système d'exploitation Windows de Microsoft : grâce à des certificats de sécurité fabriqués à l'aide d'algorithmes très complexes, il se fait passer pour une mise à jour de Windows. Il ne se propage pas automatiquement sur le réseau, mais seulement au coup par coup, sur décision d'un centre de commande – le but étant d'éviter une prolifération anarchique qui accroîtrait les risques de détection.
Avant de transmettre les données aux centres de commande, le virus sécurise ses communications grâce à des systèmes de cryptage intégrés. Enfin, il est doté d'une fonction "suicide" : quand il a rempli sa mission, il s'autodétruit. Flame possède peut-être d'autres fonctions, qui restent à découvrir, car l'analyse ne fait que commencer. Par ailleurs, les chercheurs estiment qu'il a fonctionné pendant au moins deux ans avant d'être repéré.
En ce qui concerne les victimes, les enquêteurs ont identifié dans un premier temps plus de 400 ordinateurs infectés : environ 200 en Iran, une centaine en Palestine, une trentaine au Soudan et en Syrie, quelques-uns au Liban, en Arabie saoudite, en Egypte... Au total, le nombre de victimes est estimé à un millier.
A ce stade, les sociétés de sécurité refusent de dire quels secteurs d'activité ont été visés dans chaque pays. Elles notent seulement que Flame recherchait particulièrement les fichiers Autocad (dessins industriels, plans d'architecte, schémas de machines, etc.). Elles affirment aussi que le virus a été trouvé sur des ordinateurs installés chez des particuliers – soit parce que leur vie privée intéressait les espions, soit parce qu'ils travaillaient sur des dossiers sensibles depuis leur domicile.
A l'autre bout de la chaîne, les enquêteurs ont identifié une quinzaine de centres de commande clandestins, qui déménageaient régulièrement à travers l'Europe et l'Asie, et fonctionnaient sous couvert de quatre-vingts noms de domaine différents. Grâce à l'aide de GoDaddy et d'OpenDNS, deux sociétés américaines de gestion de noms de domaine, Kaspersky parvient à détourner le trafic de Flame vers ses propres serveurs, pour intercepter les flux de données entre les centres de commande et les victimes. Cela dit, peu après l'annonce officielle de la découverte de Flame, le trafic cesse totalement.
LES ETATS-UNIS ET ISRAËL SOUPÇONNÉS
Pour les sociétés de sécurité, l'investigation s'arrête là : pas question de chercher à démasquer les concepteurs de Flame ni ses commanditaires. En théorie, ces enquêtes sont du ressort de la justice des pays concernés, mais les obstacles techniques, juridiques et diplomatiques sont quasi insurmontables. Kaspersky se contente d'affirmer que seul un Etat dispose des moyens logistiques et financiers nécessaires pour créer un outil aussi sophistiqué.
De son côté, le centre iranien Maher publie un communiqué très technique : "Compte tenu du mode de nommage des fichiers, des méthodes de propagation, du niveau de complexité, de la précision du ciblage et de la perfection de son fonctionnement, [Flame] a sans doute un lien étroit avec (...) Stuxnet et Duqu (...). Les récents incidents de pertes massives de données en Iran sont probablement le résultat de l'installation de modules de ce virus." Levente Buttyan, directeur du CrySys de Budapest, est plus direct : "Il n'y a aucune preuve, mais quand on examine les méthodes de travail, et qu'on considère la région où se concentrent les cibles, il est clair que les soupçons se portent sur les Etats-Unis et Israël."
La paternité de Flame reste, à ce jour, inconnue, mais la thèse de l'implication des Etats-Unis a été renforcée par la publication le 5 juin d'un livre intitulé Confront and Conceal : Obama's Secret Wars (Attaquer sans le dire : les guerres secrètes d'Obama) de David Sanger, correspondant du New York Times à Washington. David Sanger, très introduit à la Maison Blanche, explique en détail comment Stuxnet a été conçu, puis utilisé contre l'usine nucléaire iranienne par les services secrets américains, avec l'aide des Israéliens, au cours d'une opération baptisée "Jeux olympiques". Il affirme aussi qu'à la suite d'une erreur de manipulation, Stuxnet s'est répandu sur Internet, infectant près de cent mille machines dans le monde, mais que l'administration Obama aurait décidé de poursuivre l'opération sans se soucier des dommages collatéraux.
Or, officiellement, les Etats-Unis condamnent toutes les activités dites de "cyberguerre" et mènent une campagne diplomatique pour dissuader le reste du monde, y compris leurs alliés, de fabriquer des virus d'attaque. Après les révélations de David Sanger, la première réaction du gouvernement Obama a été d'ouvrir une enquête criminelle pour retrouver les auteurs de la fuite – un aveu implicite. De son côté, le New York Times affirme qu'avant de publier ces informations il avait prévenu le gouvernement, qui lui aurait alors demandé de ne pas publier certains détails techniques, au nom de l'intérêt national.
S'il est avéré que le gouvernement des Etats-Unis fabrique des virus, les sociétés américaines de sécurité, qui travaillent souvent pour l'Etat, se retrouvent dans la situation paradoxale de devoir contrecarrer des opérations de leur propre gouvernement. Lors d'un entretien accordé au Monde en juin 2011, le PDG de Symantec, Enrique Salem, s'était félicité d'avoir réussi à neutraliser en 2010 deux centres de commande de Stuxnet, situés en Malaisie et aux Pays-Bas, et d'avoir identifié trois failles de sécurité utilisées par le virus pour se propager. Il affirmait que Stuxnet avait été fabriqué par un "Etat", sans préciser lequel.
En ce qui concerne Flame, les responsables de Symantec rappellent qu'ils défendent en priorité les intérêts de leurs clients - mais qu'en raison de l'embargo décrété par les Etats-Unis ils n'ont pas de clients en Iran. De toute façon, les Américains ne sont pas vraiment en pointe dans la lutte contre ces virus : Stuxnet a été détecté pour la première fois par une équipe biélorusse, Duqu par les Hongrois, et Flame à la fois par les Russes, les Hongrois et... par les Iraniens, toujours aux premières loges.
Yves Eudes
Source : http://www.lemonde.fr/
Femme2Gaza, Posté le vendredi 13 février 2015 11:44
Ensemble pour la paix